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foreword 


计算 机 安全 问题 已 经 被 高 度 重视 。 越 来 越 多 的 计算 机 联网 ,包括 因特网 、 内 联网 和 外 
联网 ,对 计算 机 安全 有 着 深刻 的 影响 。 通 过 网 络 远程 方便 地 访问 的 最 大 风险 是 让 系统 变 
得 更 脆弱 。 正 如 计算 机 更 容易 被 访问 那样 ,攻击 的 威胁 也 随 之 增加 。 通 过 本 书 的 学 习 , 你 
将 对 计算 机 安全 有 全 面 系统 的 了 解 。 作 为 高 校 的 教材 ,能 很 好 地 把 计算 机 安全 的 理论 和 
应 用 结合 起 来 。 它 既 详 细 介 绍 了 有 关 计 算 机 安全 的 基础 理论 知识 ,又 把 目前 计算 机 安全 
出 现在 实际 中 的 问题 作 了 分 析 , 充 分 达到 了 计算 机 专业 对 于 该 专业 学 生 对 于 计算 机 安全 
教育 的 目的 。 通 过 本 书 的 学 习 , 知 道 什么 是 计算 机 安全 ,以 及 它 的 理论 体系 和 应 用 原理 ， 
懂得 如 何 防范 简单 的 安全 问题 。 本 书 提供 了 一 个 基本 的 安全 框架 ,读者 可 以 对 它 进 行 增 
补 以 实现 最 大 限度 保护 自己 的 信息 系统 和 资源 的 目的 。 

本 书 系统 地 介绍 计算 机 安全 的 基本 原理 与 应 用 技术 。 全 书包 括 9 章 。 第 1 章 计算 机 
安全 概述 ,讲解 计算 机 安全 的 基本 原理 和 基本 模型 ,介绍 什么 是 计算 机 安全 、 基 本 安全 服 
务 、 对 于 安全 的 威胁 、 对 应 的 基本 策略 和 机 制 等 ; 描述 计算 机 安全 所 关心 的 问题 ,并 探讨 
计算 机 安全 所 面临 的 问题 和 挑战 ,为 其 他 章节 的 展开 打下 了 基础 ; 第 2 章 计算 机 安全 与 
访问 控制 ,包括 访问 控制 矩阵 和 基础 结论 等 ; 第 3 章 安 全 模型 ,包括 经 典 模型 .访问 控制 
模型 以 及 信息 流 模型 等 ; 第 4 章 密码 学 概述 ,包括 密码 学 基础 多 种 不 同 密 钥 管理 、 密 码 
技术 和 认证 等 ; 第 5 章 现 代 加 密 技 术 ,包括 不 同 加 密 技术 的 原理 介绍 和 实现 描述 ; 第 6 章 
密 钥 管理 技术 ,介绍 了 密 钥 的 分 类 、 密 钥 的 产生 以 及 密 钥 的 分 配 等 相关 原理 和 技术 ; 第 7 
童 计算 机 网 络 安全 ,介绍 网 络 安 全 的 基础 知识 和 分 类 等 ; 第 8 章 网 络 操作 系统 安全 ,包括 
网 络 操作 系统 安全 概念 的 介绍 以 及 具体 的 网 络 操作 系统 安全 策略 的 介绍 ; 第 9 章 计算 机 
病毒 ,包括 计算 机 病毒 概念 的 介绍 以 及 几 种 常见 计算 机 病毒 防治 的 介绍 ,深入 浅 出 , 循 行 渐 
进 地 围绕 计算 机 安全 的 主题 进行 了 详细 的 讨论 。 各 章 配 有 相关 的 习题 ,便于 教学 和 自学 。 

本 书 围绕 计算 机 安全 的 定义 ,从 理论 和 实际 应 用 两 方面 进行 了 深入 浅 出 的 论述 ,非常 
适合 作为 高 校 还 没有 设置 计算 机 安全 专业 的 学 生 教材 ,也 可 以 作为 计算 机 安全 专业 学 生 
的 基础 课 或 者 导论 课 教材 ,同时 也 可 供 从 事 信 息 安全 、 计 算 机 ,通信 等 领域 的 科技 人 员 参 
考 。 本 书 理论 讲 得 透彻 ,应 用 举例 分 析 得 具体 实际 。 

在 这 里 非常 感谢 Dr. Jon. J. Brewster, 是 他 促使 了 这 本 书 的 撰写 并 对 本 书 提出 许多 
好 的 建议 。 感 谢 我 们 的 家 人 ,有 了 你 们 的 支持 我 们 才 有 信心 完成 这 本 书 。 


作 者 
2017 年 1 月 
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计算 机 安全 概述 


1.1 不 安全 因素 


随 着 时 代 的 发 展 ,计算 机 安全 也 具有 了 一 些 新 的 含义 , 它 更 加 积极 和 普及 了 ,也 出 
现 了 一 些 涉及 各 行 各 业 的 旨 在 提供 安全 培训 和 认证 的 推广 。 例如 ,提醒 消费 者 的 身份 
有 和 否 被 盗窃 ,给 武器 专家 提供 采取 与 国家 安全 有 关 的 预防 措施 等 ,同时 也 帮助 普通 人 
提高 了 对 黑客 的 认识 。 关 于 计算 机 和 网 络 安全 的 新 的 重点 逐渐 地 放 在 了 普通 用 户 的 
电脑 上 ,因为 一 个 用 户 的 安全 通常 会 影响 到 所 有 网 上 用 户 的 安全 ,网 络 的 安全 是 关乎 


每 个 人 的 。 
今 , 计 算 机 网 络 的 信息 共享 和 资源 共享 等 优点 ,日 益 受 到 人 们 的 注目 ,并 获得 广泛 


的 应 用 。 同 时 , 随 着 Internet 应 用 范围 的 扩大 ,使 得 网 络 应 用 进入 到 一 个 轩 新 的 阶段 。 一 
方面 ,和 人 网 用 户 能 以 最 快 的 速度 .最 便利 的 方式 及 最 廉价 的 费用 ,获得 最 新 的 信息 ,并 在 国 
际 范围 内 进行 交流 ; 另 一 方面 , 随 着 网 络 规模 越 来 越 大 和 越 来 越 开 放 , 网 络 上 的 许多 敏感 
信息 和 保密 数据 难免 受到 各 种 主动 或 被 动 的 人 为 攻击 。 也 就 是 说 ,人 们 在 享受 计算 机 网 
络 所 提供 的 益处 的 同时 ,必须 考虑 如 何 对 待 网 络 上 日 益 泛 滥 的 信息 垃圾 和 非法 行为 , 即 必 
须 研究 网 络 安全 问题 。 

众所周知 ,利用 计算 机 环境 进行 全 球 通信 已 成 为 时 代 发 展 的 必然 趋势 。 但 是 ,如 何在 
一 个 开放 式 的 计算 机 网 络 物理 环境 中 构造 一 个 封闭 的 迎 辑 环境 来 满足 国家 、 群 体 和 个 人 
实际 需要 ,已 成 为 必须 考虑 的 实际 问题 。 互 联 的 计算 机 网 络 常常 由 于 节点 分 散 、 难 以 管理 
等 问题 ,而 受到 攻击 和 蒙受 分 布 操作 带 来 的 损失 。 若 没有 安全 保证 , 则 会 给 系统 带 来 灾难 
性 的 后 果 。 

无 论 是 在 一 个 独立 的 计算 机 上 还 是 对 于 互联 网 上 的 计算 机 ,计算 机 用 户 都 不 得 不 开 
始 面 对 前 所 未 有 的 关于 隐私 权 部 分 的 威胁 ,不 得 不 付出 对 付 这 些 威胁 的 代价 。 为 了 解决 
泄露 隐私 的 问题 ,各 国 制定 了 大 量 的 发 挥 了 很 大 作用 的 新 的 法 律 ,它们 尽量 让 信息 免 遭 广 


2 本 计算 机 安全 


泛 传播 ,规范 公司 之 间 金 融 信息 的 交换 。 这 些 新 的 法 律 都 有 很 长 的 名 称 ,如 健康 保险 流通 
与 责任 法 案 (HIPAA Health Insurance Portability and Accountability Act) ,以 及 家 庭 教 
育 权 利 与 隐私 权 法 (FERPA Family Educational Rights and Privacy Act)。 这 些 法 律 使 
有 意 泄露 个 人 信息 的 行为 成 为 犯罪 ,并 经 常 通报 被 掩盖 的 发 生 在 计算 机 安全 方面 的 罪行 ， 
以 避免 机 构 或 公司 再 次 出 现 类 似 这 样 的 事情 。 

普通 的 用 户 , 从 早上 登录 一 直 要 到 晚上 才 关 机 (如 秘书 或 商场 的 售货员 ) ,他们 从 没有 
想到 安全 问题 。 事 实 上 ,他 可 能 没有 想到 ,蠕虫 或 其 他 攻击 一 直 影 响 他 正在 工作 的 计算 
机 。 现 在 ,公众 的 计算 机 安全 意识 急剧 上 升 。 计 算 机 安全 方面 的 知识 已 经 出 现 , 越 来 越 多 
的 文章 警告 公众 对 病毒 和 其 他 危险 的 防范 。 媒 体 还 介绍 一 系列 的 解决 办 法 ,从 改变 上 网 
习惯 ,到 增加 防火 墙 和 入 侵 保护 系统 等 。 


1.2 安全 历史 


计算 机 安全 是 一 个 热点 话题 ,包括 安全 法 规 和 标准 的 发 展 , 安 全 机 制 的 研究 ,关于 如 
何 保护 信息 的 安全 和 由 此 带 来 的 维护 费用 等 。 通 过 总 结 关键 事件 的 历史 ,可 以 看 到 计算 
机 安全 的 发 展 。 

1793 年 ,法 国 的 Chappe 兄弟 在 位 于 巴黎 附近 的 两 个 地 点 之 间 建 立 了 第 一 个 商业 信 
号 灯 系 统 (使 用 机 械 化 )。 由 于 拿破仑 喜欢 它 ,很 快 便 在 法 国 就 有 了 信号 系统 ,后 来 该 系统 
蔓延 到 意大利 、 德 因 和 俄罗斯 ,雇用 数 千 名 人 员 来 操作 ,运作 速度 约 为 每 分 钟 15 个 字符 。 
但 在 英国 信号 灯 并 不 很 成 功 , 主 要 是 因为 英国 的 雾 和 工业 革命 的 烟雾 影响 较 大 。 在 美国 ， 
信号 系统 也 得 到 了 很 好 应 用 ,至 今 留 下 了 众多 的 社区 地 理 名 称 , 如 信号 山 等 。 

塞 组 尔 F. B. 莫 尔 斯 发 明 电报 引 来 了 人 们 对 于 传输 信息 保护 机 制 的 关注 。 仅 在 其 后 
一 年 ,一 个 商业 加 密 代码 的 开发 保证 了 传播 信息 的 秘密 。 

在 1881 年 电话 发 明 后 的 五 年 内 ,一 个 关于 声音 干扰 的 专利 被 提交 。 

在 20 世纪 20 年 代 , 政 府 和 犯罪 势力 使 用 电话 窃听 导致 与 论 哗然 ,美国 国会 听证 会 最 
终 立法 禁止 了 大 多 数 窃 听 行 为 。 

在 20 世纪 30 年 代 , 第 六 通信 法 禁止 未 经 授权 的 有 线 或 无 线 电 的 通信 拦截 和 传播 ,但 
同时 赋予 总 统 某 些 权力 ,以 处 理 在 战争 或 其 他 国家 紧急 事件 的 通信 事项 。 

在 20 世纪 40 年 代 , 关 于 控制 原子 能 源 信 息 的 扩散 促成 了 1946 年 的 原子 能 法 ,是 针 
对 需要 特别 保护 的 信息 和 对 其 传播 的 处 罚 。 类 似 的 管制 已 经 实施 在 其 他 的 科学 领域 中 并 
取得 新 的 进展 。 

在 20 世纪 90 年 代 , 主 要 关注 不 仅 要 抵挡 不 法 人 员 ,还 要 更 好 抵挡 不 良 的 代码 。 病 毒 
已 经 出 现 了 一 段 时 间 , 它 发 生 在 家 庭 和 企业 电脑 的 数量 急剧 增加 ,计算 机 病毒 开始 困扰 和 
计算 机 打交道 的 每 一 个 人 。 

在 21 世纪 初 ,病毒 已 经 分 化 成 间谍 软件 , 它 可 以 检测 并 暴露 用 户 在 网 上 的 活动 ,其 中 
有 些 恶意 广告 在 介绍 商品 同时 也 有 针对 性 地 传播 恶意 软件 ,其 目的 是 造成 损害 或 是 进行 
进一步 非法 目的 。 
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在 2001 年 的 “9 .11” 恐 怖 袭击 后 ,美国 国土 保护 法 对 于 私人 通信 信息 的 收集 实施 了 
广泛 的 行政 权力 。 

在 计算 机 发 展 的 早期 ,计算 机 系统 是 非常 庞大 的 .罕见 的 和 非常 昂贵 的 。 很 自然 ,人 
们 只 需要 尽力 地 去 保护 一 台 计 算 机 。 计 算 机 安全 纯粹 是 一 般 的 物理 安全 问题 。 如 计算 机 
楼 和 房间 的 守卫 ,防止 除 计 算 机 操作 人 员 以 外 人 员 的 入 侵 和 破坏 。 物 理 安全 的 重点 在 于 
防止 非法 冯 和 人 ,盗窃 计算 机 设备 ,破坏 磁盘 、 磁 带 或 其 他 设备 。 当 时 很 少 人 知道 如 何 使 用 
计算 机 ,大 多 数 用 户 从 来 没 见 过 电脑 。 随 着 时 代 的 变迁 ,在 20 世纪 60 年 代 末 和 70 年代， 
网 络 极 大 地 改变 了 人 们 的 通信 方式 。 用 户 可 以 通过 终端 计算 机 直接 与 系统 进行 交互 ,给 
了 用 户 更 多 的 权力 和 灵活 性 ,但 也 由 此 带 来 了 新 的 危险 。 

偏远 地 区 的 用 户 能 够 访问 计算 机 以 及 共享 程序 和 数据 ,从 根本 上 改变 了 计算 机 的 应 
用 。 大 型 企业 开始 自动 存储 有 关 客 户 和 供应 商 的 在 线 信息 和 商业 交易 。 网 络 把 小 型 计算 
机 联系 在 一 起 ,让 它们 互相 沟通 。 越 来 越 多 的 人 知道 如 何 使 用 计算 机 。 今 天 ,如 果 一 些 资 
源 在 你 的 计算 机 中 找 不 到 , 则 可 以 将 这 人 台 机 器 连接 到 另 一 台 具 有 这 些 资 源 的 计算 机 。 不 
可 避免 地 ,网 络 系统 及 信息 供应 增加 导致 滥用 。 计 算 机 安全 问题 逐渐 扩大 。 相 比 以 前 担 
心 外 人 侵入 计算 机 设施 和 设备 (间或 是 计算 机 操作 人 员 的 失误 ) ,现在 不 得 不 担心 被 不 留 
痛 迹 的 入 侵 者 窃取 或 算 改 资料 。 计 算 机 犯罪 事件 开始 时 有 报道 。 对 有 关 人 金融 法律 和 医 
疗 共享 网 上 的 数据 库 记录 的 可 用 性 构成 了 非常 大 的 威胁 。 随 着 计算 机 终端 和 调制 解 调 器 
的 普及 ,这 些 危 险 正在 加 剧 。 

20 世纪 80 年 代 开 始 ,互联 网 技术 飞速 发 展 。1987 年 ,世界 各 地 的 计算 机 用 户 几 乎 同 
时 发 现 了 形形色色 的 计算 机 病毒 ,如 大 麻 、IBM 圣诞 树 、 黑 色 星 期 五 等 。1988 年 3 月 
2 日 ,一 种 苹果 机 的 计算 机 病毒 发 作 , 当 天 受 感染 的 苹果 机 停止 工作 ,只 显示 “向 所 有 苹果 
计算 机 的 使 用 者 宣布 和 平 的 信息 ”, 以 庆祝 苹果 机 生日 。 但 计算 机 病毒 开始 大 肆 流 行 是 在 
1988 年 11 月 2 日 。 美 国 康 奈 尔 大 学 23 岁 的 研究 生 罗 特 。 莫 里 斯 制作 了 一 个 蠕虫 病毒 ， 
并 将 其 投放 到 美国 Internet 网 络 上 ,致使 计算 机 网 络 中 的 6000 多 台 计算 机 受到 感染 , 许 
多 联网 计算 机 被 迫 停机 ,直接 经 济 损失 达 9600 万 美元 。1990 年 1 月 发 现 首 例 隐藏 型 计 
算 机 病毒 “4096”, 它 不 仅 攻击 程序 还 破坏 数据 文件 。 自 从 1987 年 发 现 了 全 世界 首 例 计算 
机 病毒 以 来 ,病毒 的 数量 早已 超过 1 万 种 ,并 且 还 在 以 每 年 两 千 种 新 病毒 的 速度 递增 ,不 
断 困扰 着 涉及 计算 机 领域 的 各 个 行业 。1997 年 , 随 着 万 维 网 (World Wide Web) 上 Java 
语言 的 普及 ,利用 Java 语言 进行 传播 和 资料 获取 的 病毒 开始 出 现 , 典型 的 代表 是 
JavaSnake 病毒 ,还 有 一 些 利用 邮件 服务 器 进行 传播 和 破坏 的 病毒 ,例如 Mail-Bomb 病 
毒 , 它 会 严重 影响 因特网 的 效率 。1989 年 ,俄罗斯 的 Eugene Kaspersky 开始 研究 计算 机 
病毒 现象 。 从 1991 年 到 1997 年 ,俄罗斯 大 型 计算 机 公司 KAMI 的 信息 技术 中 心 研发 出 
了 AVP 反 病 毒 程序 。 这 在 国际 互联 网 反 病毒 领域 具有 里 程 碑 的 意义 。 防 火 墙 是 网 络 安 
全 政策 的 有 机 组 成 部 分 。1983 年 ,第 一 代 防 火 墙 诞生 。 到 今天 ,已 经 推出 了 第 五 代 防 火 
墙 。 进 入 21 世纪 ,政府 部 门 、 金 融 机 构 、 军 事 军工 ,\ 企 事业 单位 和 商业 组 织 对 IT 系统 的 依 
赖 也 日 益 加 重 ,IT 系统 所 承载 的 信息 和 服务 的 安全 性 就 越发 显得 重要 。2007 年 初 ,一 个 
名 叫 “ 熊 猫 烧香 ”的 病毒 在 极 短 时 间 内 通过 网 络 在 中 国 互 联网 用 户 中 迅速 传播 , 曾 使 数 百 
万 台 计 算 机 中 毒 ,造成 重大 损失 。 近 年 来 .我 国 互 联网 用 户 保持 持续 快速 增长 ,截至 2015 年 
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12 月 ,中 国 网 民 规模 达 6. 88 亿 , 超 过 美国 居 全 球 首位 。 与 此 同时 ,网 络 * 黑 客 ? 犯 罪行 为 
也 日 益 独 狐 。2008 年 12 月 22 日 ,我国 全 国人 大 常委 会 开始 审议 的 刑法 修正 案 ( 七 ) 草 案 
特地 增加 相关 条 款 ,严惩 网 络 * 黑 客 " 犯 罪 。 


1.3 ”基本 安全 服务 


在 不 同 的 时 代 对 计算 机 安全 一 词 的 解释 是 不 同 的 。 早 期 ,计算 机 安全 强调 对 于 被 放 
置 在 房子 中 的 计算 机 核心 的 安全 ,使 房子 免 受 破坏 ,同时 提供 不 断 冷 却 和 持续 供电 。 当 计 
算 机 进入 互联 网 时 代 时 ,计算 机 安全 的 问题 尤其 重要 ,如 维护 和 保护 数据 的 有 效 性 ,防止 
数据 窃取 和 网 络 攻击 。 计 算 机 安全 建立 在 保密 性 (confidentiality)、 完 整 性 (integrity) 和 
可 用 性 (availability) 之 上 ,也 称 CIA 三 元 组 。 对 它们 的 解释 也 随 着 它们 所 源 自 环境 的 不 
同 而 不 同 。 


1.3.1 保密 性 


保密 性 是 指 确保 信息 资源 不 暴露 给 未 授权 的 实体 和 进程 , 即 信息 的 内 容 不 会 被 未 授 
权 的 第 三 方 所 知 。 防 止 信息 失窃 和 泄露 的 保障 技术 称 为 保密 技术 。 信 息 保密 的 需求 来 自 
计算 机 在 敏感 领域 的 使 用 ,比如 政府 和 企业 。 政 府中 的 军事 .民事 机 构 经 常 对 需要 获得 信 
息 的 访问 人 群 设 定 限 制 。 最 早 是 由 于 军事 部 门 试图 实现 控制 机 制 , 导 致 了 计算 机 安全 领 
域 中 最 早 的 形式 化 研究 工作 的 出 现 。 这 一 原则 同时 也 适用 于 企业 , 它 可 保护 企业 的 专利 
设计 的 安全 ,避免 竞争 者 窃取 设计 成 果 。 

访问 控制 机 制 支持 保密 性 。 其 中 密码 技术 就 是 一 种 保护 保密 性 的 访问 控制 机 制 ,这 
种 技术 通过 对 数据 进行 编码 ,使 数据 内 容 变 得 难以 理解 。 密 匙 控制 着 非 编 码 数据 的 访问 
权 , 当 然 这 样 一 来 , 密 匙 本 身 又 成 为 男 一 个 有 待 保护 的 数据 对 象 。 例 如 : 加 密 一 份 人 事 档 
案 可 防止 任何 人 阅读 它 , 只 有 密 匙 的 拥有 者 能 够 将 密 匙 输入 解密 程序 以 查看 它 。 然 而 ,如 
果 在 密 是 输入 解密 程序 时 ,其 他 人 能 读 取 该 密 匙 , 则 这 份 人 事 档 案 的 保密 性 就 被 破坏 了 。 
对 一 些 重要 场所 如 导弹 发 射 的 同行 检验 等 情况 下 ,通常 必须 有 两 人 或 多 人 同时 参与 才能 
生效 的 方法 ,引入 了 门限 方案 的 概念 , 即 把 密 钥 分 成 a 份 , 由 个 人 持 有 ,必须 其 中 的 个 
部 分 都 知道 ,才能 构造 出 原来 的 密 钥 。 由 简单 的 概率 知识 我 们 知道 这 种 方案 比 单 人 持 有 
密 钥 安全 得 多 。 

其 他 一 些 依赖 于 系统 的 机 制 能 够 防止 信息 的 非法 访问 。 不 同 于 加 密 数据 的 是 , 受 这 
些 控制 保护 的 数据 只 有 在 控制 失效 或 者 控制 被 旁 路 时 才 被 读 取 , 因 此 它们 的 优点 中 也 存 
在 相应 的 缺点 。 这 些 机 制 能 比 密码 技术 更 完整 地 保密 数据 ,但 如 果 机 制 失效 或 被 攻破 , 则 
数据 就 变 为 可 读 的 了 。 

资源 隐藏 是 保密 性 的 另 一 个 重要 课题 。 某 个 站 点 通常 希望 隐藏 其 配置 信息 及 其 正在 
使 用 的 系统 ,机 构 也 不 希望 别人 知道 他 们 的 某 些 特有 设备 (否则 这 些 设备 会 被 非法 使 用 或 
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者 被 误 用 ); 同样 ,从 服务 提供 商 处 获取 按时 租借 服务 的 公司 不 希望 别人 知道 他 们 正在 使 
用 哪些 资源 ,访问 控制 机 制 能 提供 这 些 功能 。 保 密 性 也 同样 适用 于 保护 数据 的 存在 性 , 存 
在 性 有 时 候 比 数 据 本 身 更 能 暴露 信息 。 所 有 实施 保密 性 的 机 制 都 需要 来 自 系统 的 支持 服 
务 , 这 就 引出 了 操作 系统 和 应 用 程序 的 安全 、 编 码 的 安全 。 


完整 性 是 指 信息 未 经 授权 不 能 进行 更 改 的 特性 , 即 信息 在 存储 或 传输 过 程 中 保持 
不 被 偶然 或 者 蓄意 地 删除 、 修 改 、 伪 造 、 乱 序 . 重 放 、 插 入 等 破坏 和 丢失 的 特性 。 完 整 性 
要 求 信息 不 会 受到 各 种 因素 的 破坏 。 影 响 完整 性 的 主要 因素 有 设备 故障 、 误 码 、 人 为 
自 改 和 计算 机 病毒 等 。 完 整 性 包括 数据 完整 性 ( 即 信息 的 内 容 ) 和 来 源 完整 性 ( 即 数 据 
的 来 源 )。 信 息 的 来 源 会 涉及 来 源 的 准确 性 和 可 信 性 ,也 涉及 人 们 对 此 信息 所 赋予 的 信任 
性 。 例 如 , 某 份 报纸 可 能 会 刊登 从 企业 内 部 泄露 出 来 的 信息 , 却 声称 信息 来 自 于 另外 一 个 
信息 源 。 信 息 按 原样 刊登 ( 即 保持 数据 完整 性 ) ,但 是 信息 的 来 源 不 正确 ( 即 破坏 了 来 源 的 
完整 性 ) 。 

完整 性 机 制 可 分 为 两 大 类 , 即 预防 机 制 和 检测 机 制 。 

预防 机 制 通过 阻止 任何 未 经 授权 的 改写 数据 的 企图 ,或 通过 阻止 任何 使 用 未 经 授权 
的 方法 改写 数据 的 企图 ,以 确保 数据 的 完整 性 。 区 分 这 两 类 企图 是 很 重要 的 。 前 者 发 生 
在 当 用 户 企图 改写 未 经 授权 修改 的 数据 时 ,而 后 者 发 生 在 已 经 授权 对 数据 做 特定 修改 的 
用 户 试图 使 用 其 他 手段 来 修改 数据 。 例 如 ,假设 有 人 入 侵 一 个 计算 机 的 财务 系统 ,并 企图 
修改 账目 上 的 数据 , 即 一 个 未 经 授权 的 用 户 在 试图 破坏 财务 数据 库 的 完整 性 。 但 如 果 是 
被 公司 雇用 来 维护 账 筹 的 会 计 想 挪用 公司 的 钱 款 ,他 把 钱 款 寄 到 海外 ,并 隐瞒 这 次 交易 的 
过 程 , 即 用 户 ( 会 计 员 ) 企 图 用 未 经 授权 的 方法 (把 钱 款 转移 到 其 他 银行 的 账户 上 ) 来 改变 
数据 (财务 数据 )。 适 当 的 认证 与 访问 机 制 控制 一 般 都 能 够 阻止 外 部 侵入 ,但 要 阻止 第 二 
类 企图 就 需要 一 些 截然 不 同 的 控制 方法 。 

检测 机 制 并 不 能 阻止 完整 性 的 破坏 , 它 只 是 报告 数据 的 完整 性 已 不 再 可 信 。 检 测 机 
制 可 以 通过 分 析 系 统 事件 (用 户 或 系统 的 行为 ) 来 检测 出 问题 ,或 者 (更 常见 的 是 ) 通 过 分 
析 数 据 本 身 来 查看 系统 所 要 求 或 者 期 望 的 约束 条 件 是 否 依 然 满足 。 检 测 机 制 可 以 报告 数 
据 完整 性 遭 到 破坏 的 实际 原因 ( 某 个 文件 的 特定 部 分 被 修改 ) ,或 者 仅仅 报告 文件 现在 已 
被 破坏 。 

与 处 理 保密 性 相 比 , 处 理 完整 性 有 很 大 的 差别 。 对 保密 性 而 言 ,数据 或 者 遭 到 破 
坏 ,或 者 没有 遭 到 破坏 ,但 是 完整 性 则 要 同时 包括 正确 性 和 可 信 性 。 数 据 来 源 ( 即 如 何 
获取 数据 和 从 何 处 获取 数据 ) 数据 在 到 达 当 前 机 器 前 受到 的 保护 程度 、 数 据 在 当前 机 
器 中 所 受到 的 保护 程度 等 都 影响 数据 的 完整 性 ,可 见 评价 完整 性 通常 是 很 困难 的 , 因 
为 它 还 取决 于 数据 源 的 假设 和 关于 数据 源 的 可 信 性 的 假设 ,这 是 两 个 常常 被 忽略 的 安 
全 基础 。 
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1.3.3 可 用 性 


可 用 性 是 信息 系统 可 被 授权 实体 访问 并 能 够 按 需求 提供 信息 服务 的 特性 。 可 用 性 
是 系统 可 靠 性 与 系统 设计 中 的 一 个 重要 方面 ,因为 一 个 不 可 用 的 系统 所 发 挥 的 作用 还 
不 如 没有 。 可 用 性 之 所 以 与 安全 相关 ,是 因为 有 人 可 能 会 蓄意 地 使 数据 或 服务 失效 ， 
以 此 来 拒绝 对 数据 或 服务 的 访问 。 授 权 用 户 或 实体 需要 信息 服务 时 ,信息 服务 应 该 可 
以 使 用 ; 当 信 息 系 统 部 分 受 损 或 需要 降级 使 用 时 , 仍 能 为 授权 用 户 或 实体 提供 有 效 服 
务 。 可 用 性 一 般 用 系统 正常 使 用 的 时 间 和 整个 工作 时 间 之 比 来 度量 。 得 到 授权 的 实 
体 在 需要 时 可 访问 资源 和 服务 。 可 用 性 是 指 无 论 何 时 ,只 要 用 户 需 要 ,信息 系统 必须 
是 可 用 的 ,也 就 是 说 信息 系统 不 能 拒绝 服务 。 例 如 ,网 络 最 基本 的 功能 是 向 用 户 提供 
所 需 的 信息 和 通信 服务 ,而 用 户 的 通信 要 求 是 随机 的 、 多 方面 的 (话音 、 数 据 、 文 字 和 图 
像 等 ), 有 时 还 要 求 时 效 性 。 网 络 必须 随时 满足 用 户 通信 的 要 求 。 攻 击 者 通常 采用 占用 资 
源 的 手段 阻碍 授权 者 的 工作 。 可 以 使 用 访问 控制 机 制 阻止 非 授权 用 户 进入 网 络 , 从 而 保 
证 网 络 系统 的 可 用 性 。 增 强 可 用 性 还 包括 如 何 有 效 地 避免 因 各 种 灾害 (战争 .地 震 等 ) 造 
成 的 系统 失效 。 

企图 破坏 系统 的 可 用 性 称 为 拒绝 服务 攻击 ,这 可 能 是 最 难 检 测 的 攻击 ,因为 这 要 求 分 
析 者 能 够 判断 异常 的 访问 模式 是 否 可 以 归结 为 对 资源 或 环境 的 蓄意 操控 。 统 计 模 型 的 本 
质 注定 要 使 得 这 种 判断 非常 复杂 。 即 使 模型 精确 地 描述 了 环境 ,异常 事件 也 仅仅 对 统计 
学 特性 起 作用 。 故 意 使 资源 失效 的 企图 可 能 仅仅 看 起 来 像 异常 事件 ,或 者 可 能 就 是 异常 
的 事件 。 但 在 有 些 环境 下 ,这 种 企图 甚至 可 能 表现 为 正常 事件 。 

以 上 三 个 信息 安全 属性 在 世界 范围 内 得 到 了 共识 ,各 国 专家 对 此 均 无 异议 。 但 是 对 
于 信息 安全 的 其 他 属性 ,信息 安全 界 则 没有 统一 的 意见 。 在 我 国 强 调 较 多 的 还 有 信息 的 
可 控 性 (controllability) 和 不 可 否认 性 (non-repudiation)。 可 控 性 是 指 能 够 控制 使 用 信息 
资源 的 人 或 主体 的 使 用 方式 。 对 于 信息 系统 中 的 敏感 信息 资源 ,如 果 任 何 主体 都 能 访问 、 
算 改 .窃取 以 及 恶意 散播 的 话 ,安全 系统 显然 会 失去 了 效用 。 对 访问 信息 资源 的 人 或 主体 
的 使 用 方式 进行 有 效 控制 ,是 信息 安全 的 必然 要 求 。 从 国家 层面 看 ,信息 安全 的 可 控 性 不 
但 涉及 信息 的 可 控 性 ,还 与 安全 产品 、 安 全 市 场 、 安 全 厂商 ,安全 研发 人 员 的 可 控 性 紧密 
相关 。 

不 可 否认 性 也 称 抗 抵赖 性 、 不 可 抵赖 性 。 它 是 传统 的 不 可 否认 需求 在 信息 社会 的 延 
伸 。 人 类 社会 的 各 种 商务 和 政务 行为 是 建立 在 信任 的 基础 上 的 。 传 统 的 公章 .印章 、 签 名 
等 手段 便 是 实现 不 可 否认 性 的 主要 机 制 。 信 息 的 不 可 否认 性 与 此 相同 ,也 是 防止 实体 否 
认 其 已 经 发 生 的 行为 。 信 息 的 不 可 否认 性 分 为 原 发 不 可 否认 (也 称 原 发 抗 抵赖 ) 和 接收 不 
可 否认 (接收 抗 抵 赖 )。 前 者 用 于 防止 发 送 者 否认 自己 已 发 送 的 数据 和 数据 内 容 ; 后 者 防 
止 接 收 者 否认 已 接收 过 的 数据 和 数据 内 容 。 实 现 不 可 否认 性 的 技术 手段 一 般 有 数字 证 书 
和 数字 签名 。 
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1.4 威胁 


威胁 是 对 安全 的 潜在 破坏 ,这 种 破坏 不 一 定 要 实际 发 生 才 成 为 威胁 。 破 坏 可 能 发 生 
的 这 个 事实 意味 着 必须 防止 (或 预防 ) 那 些 可 能 导致 破坏 发 生 的 行为 ,这 些 行 为 称 为 攻击 ， 
行为 的 完成 者 或 者 导致 行为 完成 的 人 称 为 攻击 者 。 

有 三 种 安全 服务 一 一 保密 性 、 完 整 性 和 可 用 性 一 一 能 减少 系统 安全 的 威胁 。 威 胁 可 
分 为 四 大 类 : 泄露 , 即 对 信息 的 非 授权 访问 ; 欺骗 , 即 接受 虚假 数据 ; 破坏 , 即 中 断 或 妨碍 
正常 操作 ; 算 夺 , 即 对 系统 某 些 部 分 的 非 授权 控制 。 因 为 威胁 是 普遍 存在 的 ,所 以 这 些 问 
题 将 重复 出 现在 整个 计算 机 安全 学 的 学 习 过 程 中 。 以 下 将 对 每 一 种 威胁 进行 简单 介绍 。 

嗅 探 , 即 对 信息 的 非法 拦截 , 它 是 某 种 形式 的 信息 泄露 。 嗅 探 是 被 动 的 , 即 某 些 实体 
仅仅 是 窃听 (或 读 取 ) 消 息 ,或 者 仅仅 浏览 文件 或 系统 信息 。 搭 线 窃听 或 被 动 搭 线 窃 听 是 
一 种 监视 网 络 的 嗅 探 形 式 ( 称 它 为 搭 线 窍 听 ,是 因为 线路 构成 了 网 络 ,在 不 涉及 物理 线路 
时 也 使 用 这 个 术语 )。 保 密 性 服务 可 以 对 抗 这 种 威胁 。 

算 改 或 更 改 是 对 信息 的 非 授权 改变 。 算 改 的 目的 可 能 是 欺骗 。 欺 骗 过 程 中 ,一 些 实 
体 要 根据 修改 后 的 数据 来 决定 采取 什么 样 的 动作 ,或 者 不 正确 的 信息 会 被 当做 正确 的 信 
息 接收 和 发 布 。 如 果 被 修改 的 数据 控制 了 系统 操作 ,就 会 产生 破坏 和 算 夺 的 威胁 。 与 嗅 
探 不 同 的 是 , 算 改 是 主动 性 的 ,其 起 因 是 某 实体 对 信息 做 出 变更 。 主 动 搭 线 窃听 是 算 改 的 
一 种 形式 ,在 窃听 过 程 中 ,传输 于 网 络 中 的 数据 会 被 更 改 ,“ 主 动 ” 使 得 主动 搭 线 窍 听 有 别 
于 嗅 探 (被 动 搭 线 窃 听 )。 中 间 人 攻击 就 是 一 种 主动 拱 线 攻击 的 例子 : 和 人 侵 者 从 发 送 者 那 
里 读 取消 息 ,再 将 (可 能 修改 过 的 ) 同 版 本 的 消息 发 往 接收 者 ,希望 接收 者 和 发 送 者 不 会 发 
现 中 间 人 的 存在 。 完 整 性 服务 能 对 抗 这 种 威胁 。 

伪装 或 电子 欺骗 , 即 一 个 实体 被 男 一 个 实体 假冒 ,是 兼 有 欺骗 和 自 夺 的 一 种 手段 。 这 
种 攻击 引诱 受害 者 相信 和 与 之 通信 的 是 另 一 个 实体 。 例 如 ,如 果 某 用 户 试图 通过 Internet 
登录 一 台 计 算 机 ,但 实际 却 进入 了 另 一 台 自 称 是 前 者 的 机 器 ,这 样 用 户 就 被 欺骗 了 。 类 似 
情况 还 包括 : 如 果 某 用 户 尝 试 去 读 取 一 个 文件 ,但 是 攻击 者 却 给 他 准备 了 一 份 不 同 的 文 
件 ,这 也 是 一 种 欺骗 。 

伪装 可 以 是 被 动 攻击 (用 户 并 不 想 认证 接受 者 的 身份 ,而 直接 访问 它 ), 但 通常 是 主动 
攻击 (冒充 者 发 出 响应 来 误导 用 户 , 以 隐瞒 身 份 ;。 尽 管 伪装 的 主要 目的 是 欺骗 ,但 攻击 者 
也 常常 通过 伪装 来 冒充 被 授权 的 管理 员 或 控制 者 ,以 算 夺 系统 的 控制 权 。 完 整 性 服务 (在 
此 称 为 “认证 服务 ”) 能 对 抗 这 种 威胁 。 

某 些 形式 的 伪装 是 允许 的 ,比如 委托 发 生 在 一 个 实体 授权 另 一 个 实体 代表 自己 来 行 
使 职责 之 时 。 伪 装 与 委托 之 间 存 在 重大 的 差别 。 如 果 Susan 委托 Thomas, 让 他 代表 自 
己 , 即 Susan 赋予 Thomas 执行 特别 操作 的 许可 ,就 像 是 她 自己 在 执行 这 些 操作 一 样 。 各 
方 都 知道 这 种 委托 关系 。Thomas 不 会 假装 成 Susan; 相反 ,他 会 说 :“ 我 是 Thomas, 并 
且 我 有 权 代 表 Susan 来 做 这 事 。” 如 果 有 人 询问 Susan, 她 也 会 证 实 Thomas 说 的 是 真 的 。 
然而 ,如 果 是 伪装 攻击 , 则 Thomas 会 假冒 成 Susan ,没有 任何 一 方 ( 包 括 Susan) 会 发 现 这 
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种 伪装 ,Thomas 会 说 :“ 我 是 Susan。” 如 果 任 何人 发 现 与 之 交易 的 是 Thomas ,并 就 此 事 
而 询问 Susan 的 话 ,Susan 会 否认 她 曾 授 权 Thomas 来 代表 自己 。 就 安全 而 言 ,伪装 是 一 
种 破坏 安全 的 行为 ,而 委托 不 是 。 

信 源 否认 , 即 某 实体 欺骗 性 地 否认 曾 发 送 ( 或 创建 ) 某 些 信息 , 是 某 种 形式 的 欺骗 。 例 
如 : 假设 一 个 顾客 给 某 供 货 商 写 信 , 说 同意 支付 一 大 笔 钱 来 购买 某 件 产品 。 供 货 商 将 此 
产品 送 过 去 并 索取 费用 。 这 个 顾客 却 否认 曾经 订购 过 该 产品 ,并且 根据 法 律 , 他 有 权 不 支 
付 任何 费用 而 可 扣留 这 件 主 动 送 上 门 的 产品 , 即 顾客 和 否认 了 信件 的 来 源 。 如 果 供 货 商 不 
能 证 明 信 件 来 自 于 这 位 顾客 ,那么 攻击 就 成 功 了 。 这 种 攻击 的 一 种 变形 是 : 用 户 否 认 曾 
创建 过 特定 信息 或 实体 ,比如 文件 等 。 完 整 性 机 制 能 应 付 这 种 威胁 。 

信和 宿 否 认 , 即 某 实体 欺骗 性 地 否认 曾 接 收 过 某 些 信息 或 消息 ,这 也 是 一 种 欺骗 。 假 设 
一 个 顾客 预定 了 一 件 昂 贵 的 商品 ,但 供 货 商 要 求 在 送 货 前 付费 。 该 顾客 付 了 钱 , 然 后 供 货 
商 送 来 商品 ,接着 顾客 再 一 次 询问 供 货 商 何 时 可 以 送 货 。 如 果 顾 客 以 前 已 经 接收 过 货物 ， 
那么 这 次 询问 就 构成 一 次 信 宿 否认 攻击 。 为 免 于 攻击 , 供 货 商 必 须 证 明 顾 客 确实 接收 过 
货物 ,尽管 顾客 在 和 否认。 完整 性 机 制 和 可 用 性 机 制 都 能 防止 这 种 攻击 。 

延迟 , 即 暂 时 性 地 阻止 某 种 服务 ,这 是 一 种 自 夺 攻击 ,尽管 它 能 对 欺骗 起 到 支持 的 作 
用 。 通 常 消 息 的 发 送 服务 需要 一 定 的 时 间 ,如 果 攻 击 者 能 够 迫使 消息 发 送 所 花 的 时 间 多 
于 前 面 所 需 的 时 间 ,那么 攻击 者 就 成 功 地 延迟 了 消息 发 送 。 这 要 求 对 系统 控制 结构 的 操 
控 ,如 对 网 络 部 件 或 服务 器 部 件 的 操控 ,因此 它 是 一 种 自 夺 。 如 果 某 实体 在 等 待 的 认证 信 
息 被 延迟 了 , 它 可 能 会 请 求 二 级 服务 器 提供 认证 。 即 使 攻击 者 可 能 无 法 伪装 成 主 服 务 器 ， 
但 是 他 可 能 伪装 为 二 级 服务 器 以 提供 错误 的 信息 。 可 用 性 机 制 能 缓解 这 种 威胁 。 

拒绝 服务 , 即 长 时 间 地 阻止 服务 ,这 也 是 一 种 自 夺 攻击 ,尽管 它 常 与 其 他 机 制 一 起 被 
用 于 欺骗 。 攻 击 者 采用 的 方法 是 阻止 服务 器 提供 某 种 服务 。 拒 绝 可 能 发 生 在 服务 的 源 端 
( 即 通 过 阻止 服务 器 取得 完成 任务 所 需 的 资源 ) ,也 可 能 发 生 在 服务 的 目的 端 ( 即 阻 断 来 自 
服务 器 的 信息 ) ,还 可 能 发 生 在 中 间 路 径 ( 即 通过 丢弃 从 客户 端 或 服务 器 端 传 来 的 信息 ,或 
者 同时 丢弃 这 两 端 传 来 的 信息 )。 拒 绝 服务 产生 的 威胁 类 似 于 无 限 的 延迟 。 可 用 性 机 制 
能 对 抗 这 种 威胁 。 

拒绝 服务 或 延迟 可 能 是 由 直接 攻击 引起 的 ,但 也 可 能 是 由 与 安全 无 关 的 问题 所 导致 
的 。 从 我 们 的 观点 来 看 ,原因 与 结果 是 重要 的 ,而 隐藏 于 原因 与 结果 下 的 目的 却 并 不 重 
要 。 如 果 延 迟 或 者 拒绝 服务 破坏 了 系统 安全 ,或 者 是 导致 系统 遭 到 破坏 的 一 系列 事件 中 
的 一 部 分 ,那么 可 将 它 视 为 破坏 系统 安全 的 一 种 企图 。 这 种 企图 可 能 并 非 落 意 的 破坏 , 事 
实 上 , 它 可 能 是 环境 特征 的 产物 ,而 非 攻击 者 的 特定 行为 。 


1.5 策略 与 机 制 


策略 与 机 制 之 间 的 差别 对 于 安全 的 研究 非常 关键 。 
定义 1.1 安全 策略 是 对 允许 什么 禁止 什么 的 规定 。 
定义 1.2 安全 机 制 是 实施 安全 策略 的 方法 工具 或 者 规程 。 
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机 制 可 以 是 非 技术 性 的 ,比如 在 修改 口令 前 总 要 求 身 份 认证 。 实 际 上 ,策略 经 常 需要 
一 些 技术 无 法 实施 的 过 程 性 机 制 。 

举 个 例子 ,假如 某所 大 学 的 计算 机 科学 实验 室 有 一 项 策略 : 禁止 任何 学 生 复制 其 他 
学 生 的 作业 文件 。 计 算 机 系统 提供 防止 其 他 人 阅读 用 户 文件 的 机 制 。Anna 没有 使 用 这 
些 机 制 来 保护 她 的 作业 文件 ,并且 被 Bill 复制 了 作业 。 这 就 发 生 了 安全 破坏 ,因为 Bill 违 
反 了 安全 策略 。Anna 未 能 保护 好 她 的 文件 ,但 她 并 未 授权 Bill 复制 她 的 作业 。 

在 这 个 例子 中 ,Anna 本 可 以 容易 地 保护 好 她 的 文件 ,但 在 其 他 的 环境 中 ,这 样 的 保 
护 就 不 容易 了 ,例如 Internet 只 提供 最 基本 的 安全 机 制 ,这 不 足以 保护 传送 于 网 络 中 的 信 
息 。 然 而 , 像 记录 口令 和 其 他 敏感 信息 这 样 的 行为 违反 了 大 多 数 站 点 隐 含 的 一 条 安全 策 
略 (特别 地 ,口令 是 用 户 的 保密 特性 ,任何 人 都 不 能 记录 ) 。 

可 以 用 数学 方法 表达 策略 ,将 其 表示 为 允许 (安全 ) 或 不 允许 (不 安全 ) 的 状态 列表 。 
为 达到 这 个 目的 ,可 假设 任何 给 定 的 策略 都 对 安全 状态 和 非 安全 状态 做 了 公理 化 描述 。 
实践 中 ,策略 极 少 会 如 此 精确 ,通常 策略 使 用 文本 语言 描述 什么 是 用 户 或 工作 人 员 人 允许 做 
的 事情 。 这 种 描述 的 内 在 歧义 性 导致 某 些 状态 既 不 能 归于 “允许 ”一 类 ,也 不 能 归于 “不 允 
许 ” 一 类 。 比 如 ,考虑 上 面 讨论 过 的 作业 策略 。 如 果 某 人 查看 另 一 用 户 的 目录 ,但 不 复制 
作业 文件 ,这 破坏 安全 了 吗 ? 问题 的 答案 取决 于 特定 单位 的 习惯 规则、 规章 和 法 律 ,这 些 
都 不 是 我 们 关注 的 焦点 ,而 且 它 们 也 会 随时 间 而 改变 。 

当 两 个 不 同 的 单位 进行 通信 或 合作 时 ,它们 所 组 成 的 实体 会 使 用 一 种 新 的 安全 策略 ， 
且 这 种 策略 要 建立 在 这 两 个 单位 的 安全 策略 之 上 。 如 果 单 位 的 策略 不 一 致 , 则 必须 由 这 
两 个 单位 之 一 或 这 两 个 单位 共同 决定 复合 单位 的 安全 策略 。 这 种 不 一 致 性 经 常 表现 为 对 
安全 的 破坏 。 例 如 ,如 果 把 专利 文件 发 给 学 校 , 公 司 的 保密 策略 将 会 与 大 多 数学 校 更 开放 
的 策略 相 冲 突 。 学 校 和 公司 必须 开发 共同 的 安全 策略 以 满足 双方 需求 ,这 才能 产生 出 相 
容 策略 。 当 两 个 单位 通过 独立 的 第 三 方 ( 如 Internet 服务 供应 商 ) 进 行 通信 时 ,这 种 情形 
下 的 复杂 度 就 会 陡然 增加 。 


1.5.1 安全 的 目的 


如 果 给 定 描述 “安全 ”和 * 非 安全 ”行为 的 安全 策略 规范 ,安全 机 制 就 能 够 阻止 攻击 、 检 
测 攻击 或 在 遭 到 攻击 后 恢复 工作 。 可 以 组 合 使 用 安全 机 制 ,也 可 以 单独 使 用 安全 机 制 。 

阻止 意味 着 攻击 的 失败 。 例 如 : 如 果 有 人 企图 通过 Internet 问 入 某 台 主机 ,但 那 台 
主机 并 没有 连 入 Internet, 这 就 阻止 了 攻击 。 一 般 地 ,阻止 涉及 对 机 制 的 实现 ,要 求 所 实 
现 的 机 制 是 使 用 者 无 法 逾越 的 ,同时 也 相信 机 制 必然 是 通过 正确 的 \ 不 能 变更 的 方法 实现 
的 ,使 得 攻击 者 不 能 用 改变 机 制 的 方法 来 攻破 机 制 。 阻 止 机 制 往往 非常 笨重 , 它 会 干扰 系 
统 的 使 用 ,甚至 达到 阻碍 系统 正常 使 用 的 程度 。 但 一 些 简单 的 阻止 机 制 ,如 口令 等 机 制 已 
被 广泛 接受 (设置 口令 的 目的 是 要 防止 非 授 权 用 户 访问 系统 )。 阻 止 机 制 能 防止 系统 不 同 
部 分 免 受 攻击 。 一 旦 阻止 机 制 被 合理 实现 ,该 机 制 所 保护 的 资源 就 无 须 因 为 安全 问题 而 
受到 监控 ,至 少 从 理论 上 说 是 这 样 的 。 

当 不 能 阻止 攻击 时 ,检测 是 最 有 用 的 ,同时 它 也 体现 出 防范 措施 的 有 效 性 。 检 测 机 制 
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通常 基于 这 样 的 理念 : 攻击 总 会 发 生 , 检 测 的 目的 就 是 要 判定 攻击 是 正在 进行 之 中 还 是 
已 经 发 生 。 检 测 机 制 会 基于 结果 给 出 报告 。 尽 管 攻击 有 可 能 无 法 阻止 ,但 攻击 却 可 被 监 
视 , 从 而 能 采集 有 关 攻 击 的 性 质 、 严 重 性 和 结果 的 数据 。 典 型 的 检测 机 制 要 监视 系统 的 各 
个 方面 ,寻找 指示 攻击 的 行为 或 信息 。 这 种 机 制 的 一 个 很 好 的 例子 是 : 当 用 户 输入 三 次 
错误 的 口令 后 就 发 出 警告 。 登 录 程 序 还 可 继续 ,但 是 系统 日 志 中 的 一 条 报错 信息 将 报告 
这 次 不 寻常 的 多 次 敲 错 口令 的 事件 。 检 测 机 制 不 能 阻止 对 系统 的 攻击 ,这 是 一 种 严重 的 
缺陷 。 受 检测 机 制 保护 的 资源 会 因 安全 问题 而 被 持续 不 断 地 或 者 周期 性 地 监控 。 

恢复 有 两 种 形式 。 第 一 种 是 阻 断 攻 击 ,并且 评估 、 修 复 由 攻击 造成 的 任何 损害 。 例 
如 : 若 攻击 者 删除 了 一 份 文件 ,那么 某 恢 复 机 制 应 能 从 备份 磁带 中 恢复 该 文件 。 实 践 中 ， 
恢复 要 远 远 复杂 得 多 ,因为 每 种 攻击 都 有 其 独特 的 性 质 。 很 难 完整 地 刻画 出 任何 一 种 损 
害 的 类 型 和 程度 。 此 外 ,攻击 可 能 会 再 次 发 生 , 所 以 恢复 的 功能 应 包括 辨识 和 修复 攻击 者 
用 以 交 入 系统 的 系统 脆弱 性 。 在 某 些 情况 下 ,报复 (通过 攻击 攻击 者 的 系统 或 通过 合法 汇 
道 让 攻击 者 对 其 行为 负责 ) 也 是 恢复 的 一 部 分 。 在 所 有 这 些 情况 下 ,系统 的 机 能 都 因 攻击 
而 受到 压制 。 依 据 定义 ,恢复 还 应 具备 还 原 正确 操作 的 功能 。 

第 二 种 恢复 方式 要 求 在 攻击 发 生 时 ,系统 仍 能 继续 运作 。 由 于 计算 机 系统 的 复杂 性 ， 
这 类 恢复 相当 难以 实现 。 这 类 恢复 机 制 同 时 利用 容错 技术 和 安全 技术 ,一 般 用 于 可 靠 性 
非常 关键 的 系统 。 与 第 一 种 方法 不 同 ,因为 在 任何 时 候 这 种 系统 都 不 会 在 功能 上 出 错 , 而 
只 会 将 系统 不 重要 的 功能 禁用 ,当然 这 类 恢复 常常 会 以 一 种 较 弱 的 方式 出 现 。 借 助 这 种 
方法 ,系统 可 自动 检测 错误 的 功能 ,并 改正 (或 试图 改正 ?该 错误 。 


1.5.2 假设 与 信任 


如 何 判断 策略 是 否 正确 地 描述 了 特定 单位 所 要 求 的 安全 等 级 和 安全 类 型 ? 这 个 问题 
是 所 有 计算 机 领域 及 其 他 一 些 领域 中 的 核心 安全 问题 。 安 全 要 以 特定 的 假设 为 基础 ,而 
它 依赖 的 假设 明确 地 指出 了 安全 所 要 求 的 安全 类 型 及 安全 所 在 的 系统 环境 。 

例如 ,开门 需要 钥匙 。 这 里 的 假设 是 : 锁 是 安全 的 ,无 法 援 开 。 这 个 假设 被 当做 公理 
提出 ,这 是 因为 大 多 数 人 需要 钥匙 才能 开门 。 然 而 ,一 位 技术 高 超 的 援 锁 人 不 用 钥匙 就 能 
打开 门 。 因 此 ,在 有 高 超 技术 且 不 可 信任 的 援 锁 人 的 环境 下 ,这 个 假设 就 是 错误 的 ,并 且 
该 假设 所 导致 的 结果 将 是 无 效 的 。 

如 果 援 锁 人 是 可 信 的 ,假设 就 有 效 。“ 可 信 ? 意 味 着 援 锁 人 不 会 去 援 锁 ,除非 锁 的 主人 
授权 他 把 锁 援 开 。 这 是 信任 的 作用 的 另 一 个 例子 。 这 条 规则 的 一 个 明确 的 例外 是 : 绕 开 
安全 机 制 (例子 中 的 锁 ) 提 供 “ 后 门 "。 信 任 基于 这 样 的 信念 : 后 门 不 会 被 使 用 ,除非 安全 
策略 对 它 进 行 了 指定 。 如 果 后 门 被 使 用 , 则 这 种 信任 就 是 错误 的 , 且 安 全 机 制 ( 锁 ) 无 法 提 
供 安全 。 

类 似 于 锁 的 例子 ,策略 往往 包括 一 系列 公理 ,策略 的 制定 者 相信 它们 能 够 被 实施 。 策 
略 的 设计 者 始终 假设 两 点 : 首先 ,策略 准确 而 无 歧义 地 把 系统 状态 分 成 “安全 ”和 “ 非 安 
全 ”两 类 状态 ; 其 次 ,安全 机 制 能 防止 系统 进入 “ 非 安 全 ”状态 。 如 果 这 两 点 假设 的 其 中 之 
一 是 错误 的 ,系统 就 是 不 安全 的 。 
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这 两 条 假设 具有 本 质 上 的 区 别 。 第 一 种 假设 断言 策略 对 “安全 ”系统 的 组 成 做 了 正确 
的 描述 。 例 如 ,银行 的 策略 可 能 规定 银行 职员 有 权 在 多 个 账户 中 转移 资金 。 如 果 某 银行 
职员 往 自 己 的 账户 里 转 入 1000 美元 ,那么 是 否 可 以 说 他 破坏 了 银行 的 安全 呢 ? 如 果 只 考 
虑 上 述 策略 声明 ,答案 就 是 否 ,因为 职员 有 权 移 动 资 金 。 在 现实 世界 里 ,这 种 行为 就 属于 
贪污 ,任何 公司 都 会 认为 这 是 违反 安全 的 行为 。 

第 二 种 假设 认为 安全 策略 可 由 安全 机 制 实施 。 这 些 机 制 或 者 是 安全 的 ,或 者 是 精确 
的 ,或 者 是 宽泛 的 。 设 已 表示 所 有 可 能 状态 的 集合 ,Q 表示 安全 状态 集 (由 安全 策略 详细 
指定 )。 设 安全 机 制 将 系统 限定 在 状态 集 R 内 (因此 RSEP) ,于 是 有 以 下 的 定义 。 

定义 1.3 若 RSEQ, 则 称 安全 机 制 是 安全 的 ; 车 R= 二 Q, 则 称 安全 机 制 是 精确 的 ; 车 
存在 状态 r 使 得 x-ER 但 r 4 Q, 则 称 安全 机 制 是 宽泛 的 。 

理想 情况 下 ,系统 中 运行 的 所 有 安全 机 制 的 并 集会 产生 一 个 独立 的 、 精 确 的 机 制 ( 即 
及 =Q) 。 实 际 情况 中 ,安全 机 制 是 宽泛 的 , 即 它 允 许 系统 进入 非 安全 状态 。 在 进一步 探讨 
策略 的 形式 化 表达 时 会 再 次 提 到 这 个 问题 。 

要 相信 这 些 机 制 能 起 到 安全 作用 ,还 需要 以 下 假设 : 

(1) 每 种 机 制 都 被 设计 用 于 实现 安全 策略 的 一 个 或 多 个 部 分 。 

(2) 多 种 机 制 的 并 集 实现 了 安全 策略 的 所 有 规定 。 

(3) 机 制 都 被 正确 地 实现 。 

(4) 机 制 都 被 正确 地 安装 和 管理 。 


1.6 安全 保障 


可 信和 度 是 不 能 精确 量化 的 ,系统 的 规范 .设计 和 实现 则 为 判断 系统 的 可 信和 度 提供 依 
据 。 这 方面 的 信任 称 为 安全 保障 , 它 试 图 为 支持 (或 者 证 实 规范) 系统 可 信和 度 提 供 基础 。 

例如 在 美国 ,如 果 阿 司 匹 林 是 产 于 国内 著名 制造 商 的 , 且 置 于 密闭 的 容器 中 运送 到 药 
店 ,在 卖 出 时 还 保持 原 有 的 密封 包装 ,就 会 得 到 大 多 数 人 的 信赖 。 信 任 是 建立 在 如 下 基础 
之 上 的 : 

(1) 食品 和 药物 管理 部 门 对 该 药品 (阿司匹林 ) 做 出 的 测试 和 认证 

美国 食品 及 药物 管理 局 拥有 对 很 多 类 药品 的 管理 权限 , 仅 当 药品 符合 一 定 的 临床 有 
效 标准 时 才 允 许 流入 市 场 。 

(2) 医药 公司 的 生产 标准 和 公司 为 保证 药品 不 受 污染 所 采取 的 防范 措施 

国家 和 政府 的 监管 委员 会 要 确保 药品 生产 符合 特定 的 合理 标准 。 

(3) 瓶子 的 密封 性 

要 把 危险 药物 放 到 安全 封闭 的 瓶子 里 而 不 破坏 瓶子 的 封口 是 很 困难 的 。 

这 三 项 技术 (认证 .生产 标准 和 防护 性 的 密封 包装 ) 为 阿司匹林 不 受 污染 提供 了 某 种 
程度 的 安全 保障 。 购 买 者 对 阿司匹林 纯净 度 的 信任 程度 取决 于 这 三 个 过 程 。 

在 20 世纪 80 年 代 , 药 品 生产 满足 上 述 前 两 项 标准 ,但 是 没有 使 用 安全 密封 的 方法 。 
曾 有 一 个 知名 制造 商 生产 的 药品 在 生产 后 和 销售 前 的 时 段 内 受到 了 污染 ,这 一 事故 引发 
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了 一 阵 “ 药 品 矶 慌 ”"。 生 产 者 即时 引进 了 密封 包装 ,以 使 顾客 相信 容器 内 的 药品 和 从 生产 
工厂 运 出 来 时 是 一 样 的 。 

在 计算 机 领域 ,安全 保障 与 此 类 似 , 也 需 采 用 一 些 特定 的 步骤 来 确保 计算 机 的 正常 运 
行 。 这 一 系列 的 步骤 包括 : 对 所 期 望 的 (或 不 期 望 的 ) 行 为 做 详细 的 规范 ; 对 硬件 、 软 件 
和 其 他 部 件 进行 分 析 , 以 表明 系统 没有 违反 规范 ; 论证 或 证 明 系 统 的 实现 .运作 和 维护 过 
程 将 产生 预期 行为 。 

定义 1.4 ”如 果 规 范 正确 地 描述 了 系统 的 工作 方式 , 则 称 系统 满足 规范 。 

此 定义 同样 适用 于 满足 规范 的 设计 和 实现 。 


规范 是 对 系统 所 期 望 功能 的 (形式 化 的 或 非 形式 他 的 ) 描 述 。 规 范 可 以 是 高 度数 字 化 
的 ,可 任意 使 用 以 形式 化 规范 为 目的 的 语言 进行 描述 ; 规范 也 可 以 是 非 形式 化 的 ,例如 可 
使 用 英语 来 描述 系统 在 特定 环境 下 所 做 的 工作 ; 规范 可 以 是 低层 次 的 , 它 将 程序 代码 与 
逻辑 和 时 态 关 系 进行 结合 ,以 描述 事件 的 有 序 性 。 规 范 中 定义 的 性 质 是 对 系统 可 做 什么 
或 系统 不 可 做 什么 的 规定 。 例 如 ,一 家 公司 计划 购买 一 台新 电脑 供 内 部 使 用 ,公司 需要 相 
信和 新 系统 可 以 抵御 来 自 Internet 的 攻击 。 公 司 制 定 的 (文本 ) 规 范 中 可 能 会 有 这 么 一 条 : 
“该 系统 不 会 受到 来 自 Internet 的 攻击 ”。 

规范 不 仅仅 用 于 安全 领域 ,在 针对 可 靠 性 的 系统 设计 (比如 医药 技术 ) 中 ,也 会 用 到 规 
范 。 此 时 ,规范 要 限制 系统 ,以 避免 其 系统 行为 导致 危害 。 用 于 调节 交通 信号 灯 的 系统 必 
须 确保 : 同一 方向 的 一 组 灯 必 须 同时 变 成 红 灯 、 绿 灯 或 黄 灯 ,而 且 任 一 时 刻 在 十 字 路 口 最 
多 只 有 一 组 灯 是 绿灯 状态 。 

规范 的 一 个 主要 衍生 部 分 是 对 需求 集 是 否 相关 于 系统 的 规划 用 途 的 判定 。 


1.6.2 设计 


系统 设计 将 规范 转换 成 实现 该 规范 的 系统 构件 。 如 果 在 所 有 的 相关 环境 下 ,设计 不 
允许 系统 违背 规范 , 则 称 设计 满足 了 规范 。 例 如 .可 为 上 述 公司 的 计算 机 系统 做 出 这 样 一 
种 设计 : 没有 网 卡 , 没 有 调制 解 调 器 ,在 系统 内 核 中 也 没有 网 络 驱动 程序 。 这 种 设计 满足 
规范 ,因为 系统 不 会 进入 Internet, 因 此 系统 不 会 受到 来 自 Internet 的 攻击 。 

分 析 者 可 以 使 用 几 种 方法 来 判断 某 种 设计 是 否 满足 一 系列 规范 。 如 果 使 用 数学 语言 
来 表达 规范 和 设计 , 则 分 析 者 必须 证 明 所 设计 的 公式 表达 与 规范 保持 一 致 。 尽 管 许 多 工 
作 可 以 通过 自动 化 手段 来 完成 ,但 是 仍然 需要 人 力 来 对 违背 规范 的 设计 组 件 (在 某 些 情况 
下 无 法 证 明 组 件 满足 规范 做 一 些 分析 和 修改 工作 。 如 果 不 是 使 用 形式 化 方法 来 进行 规 
范 和 设计 , 则 必须 做 出 令 人 信服 的 、 强 有 力 的 论证 。 通 常 的 情况 是 ,规范 是 模糊 的 ,而 论证 
则 相当 随意 ,没有 说 服 力 ,或 者 覆盖 面 不 完整 。 设 计 往往 要 依赖 于 对 规范 含义 的 假设 。 我 
们 将 会 看 到 ,这 将 导致 系统 的 脆弱 性 。 
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1.6.3 实现 


给 定 一 种 设计 ,实现 就 是 要 创建 符合 该 设计 的 系统 。 如 果 这 种 设计 也 符合 规范 ,依据 
传递 性 , 则 实现 同样 符合 规范 。 

实现 阶段 的 困难 在 于 : 证 明 程序 正确 地 实现 了 设计 是 复杂 的 ,因而 证 明 程 序 正 确 地 
实施 了 系统 规范 也 是 复杂 的 。 

定义 1.5 ”如 果 程 序 实现 的 功能 满足 规范 , 则 称 程序 是 正确 的 。 

证 明 程 序 的 正确 性 需要 对 每 一 行 源 代码 进行 精确 的 正确 性 验证 。 每 一 行 源 代码 都 被 
视 为 一 个 函数 , 它 把 输入 (由 先决 条 件 约束 ) 映 射 为 一 些 输 出 (由 该 函数 及 其 先决 条 件 所 导 
出 的 后 发 条 件 约束 )。 每 一 个 例 程 都 表现 为 函数 的 复合 ,而 每 一 个 函数 都 可 以 追溯 到 构成 
程序 的 代码 行 。 和 这 些 函 数 一 样 ,与 例 程 相对 应 的 函数 也 有 输入 和 输出 ,也 分 别 受 到 先决 
条 件 和 后 发 条 件 的 限制 。 使 用 例 程 的 组 合 ,可 建立 程序 并 形式 化 地 进行 验证 。 可 以 将 此 
技术 应 用 到 程序 集合 中 ,并 因此 可 验证 系统 的 正确 性 。 

这 个 过 程 存在 三 方面 的 困难 。 首 先 , 程 序 的 复杂 性 使 其 数学 验证 变 得 非常 复杂 。 除 
了 内 在 的 困难 之 外 ,程序 自身 也 存在 源 于 系统 环境 的 先决 条 件 。 这 些 先 决 条 件 常常 非常 
微妙 而 难以 规范 ,除非 所 用 形式 化 工具 可 以 精确 地 表达 它们 ,否则 程序 的 验证 就 可 能 无 
效 , 因 为 关键 的 假设 可 能 就 是 错误 的 。 其 次 ,程序 验证 通常 假设 程序 是 经 过 正确 编译 、 连 
接 和 加 载 的 ,并 且 执行 也 是 正确 的 。 但 是 ,硬件 错误 .代码 错误 以 及 其 他 工具 使 用 中 的 错 
误 都 可 能 使 得 前 提 条 件 变 为 无 效 。 比 如 ,一 个 编译 器 不 正确 地 将 代码 

X: = X+1 
编译 为 

move X to regA 

subtract 1 from contents of regA 

move contents of regA to X 
这 次 不 正确 的 编译 使 得 证 明 表述 “代码 行 之 后 X 的 值 比 之 前 的 X 值 大 1? 变 为 无 效 ,从 而 
使 得 正确 性 证 明 也 失效 。 最 后 ,如 果 验 证 依赖 于 输入 的 条 件 ,那么 程序 必须 拒绝 所 有 不 能 
满足 这 些 条 件 的 输入 ,否则 程序 只 能 得 到 部 分 验证 。 

由 于 正确 性 的 形式 化 证 明 很 耗费 时 间 ,所 以 一 种 称 为 测试 的 事后 验证 技术 得 到 了 广 
泛 的 应 用 。 在 测试 的 过 程 中 ,测试 者 使 用 特定 数据 来 执行 程序 (或 者 部 分 程序 ) ,以 此 判断 
输出 是 否 符合 要 求 , 并 因此 知道 程序 出 错 的 可 能 性 有 多 大 。 测 试 技术 包括 : 给 定 大 量 输 
和 人 ,确保 所 有 的 操作 路 径 都 被 测试 ; 在 程序 中 引入 错误 操作 ,判断 这 些 错 误 如 何 影响 程序 
的 输出 ; 制定 规范 ,并 测试 程序 以 查看 程序 是 否 满足 规范 要 求 。 尽 管 这 些 技术 比 形式 化 
方法 简单 得 多 ,但 它们 并 不 能 提供 形式 化 方法 所 提供 的 同等 程度 的 保障 。 此 外 ,测试 依赖 
于 测试 过 程 与 测试 文档 ,这 两 者 中 的 错误 也 将 使 测试 结果 失效 。 

尽管 安全 保障 技术 不 能 确保 系统 的 正确 性 或 安全 性 ,但 是 这 种 技术 为 系统 评估 提供 
了 牢固 的 基础 : 为 了 使 系统 的 安全 性 值得 信赖 ,必须 确保 哪些 方面 的 可 信 性 。 它 们 的 价 
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值 就 在 于 可 以 消除 可 能 出 现 的 .常见 的 错误 源 ,迫使 设计 者 精确 地 定义 系统 的 功能 行为 。 
习题 


1. 将 下 列 事件 归 类 为 违反 保密 性 、 违 反 完整 性 违反 可 用 性 ,或 者 是 它们 的 组 合 。 

(a) John 复制 了 Mary 的 作业 。 

(b) Paul 使 Linda 的 系统 崩溃 。 

(c) Carol 将 Angelo 的 支票 面额 由 100 美元 改 成 1000 美元 。 

(d) Gina 在 一 份 合同 上 伪造 了 Roger 的 签名 。 

(e) Rhonda 注册 了 “AddisonWesley. com” 的 域名 ,并 拒绝 该 出 版 公司 收购 或 使 用 这 
个 域名 。 

(f) Jonah 获得 了 Peter 的 信用 卡号 码 ,Jonah 使 信用 卡 公 司 注销 了 这 张 卡 ,并 使 用 另 
一 张 有 不 同 账号 的 卡 来 替换 前 一 张 卡 。 

(g) Heny 通过 欺骗 Julie 的 IP 地 址 ,而 获得 了 Julie 的 计算 机 的 访问 权 。 

2. 确定 能 实现 以 下 要 求 的 机 制 ,指出 它们 实施 了 哪 种 或 哪些 策略 。 

(a) 一 个 改变 口令 的 程序 将 拒绝 长 度 少 于 5 个 字符 的 口令 ,也 拒绝 可 在 字典 中 找到 
的 口令 。 

(b) 只 为 计算 机 系 的 学 生 分 配 该 系 计算 机 系统 的 访问 账号 。 

(c) 登录 程序 拒绝 任何 三 次 错误 地 输入 口令 的 学 生 登 录 系 统 。 

(d) 包含 Carol 的 作业 的 文件 的 许可 将 防止 Robert 对 它 的 欺骗 和 复制 。 

(e) 当 Web 服务 流量 超过 网 络 容量 的 80% 时 ,系统 就 禁止 Web 服务 器 的 全 部 通信 。 

(f) Annie 是 一 名 系统 分 析 员 ,她 能 检测 出 某 个 学 生 正 在 使 用 某 种 程序 扫描 她 的 系 
统 , 以 找 出 脆弱 点 。 

(g) 一 种 用 于 上 交 作 业 的 程序 , 它 在 交 作业 的 期 限 过 后 将 自行 关闭 。 

3.“ 通 过 隐匿 得 到 安全 ”这 条 格言 暗示 隐藏 信息 可 以 提供 某 种 程度 的 安全 性 。 给 出 
一 个 实例 ,在 这 种 情况 下 隐藏 信息 不 能 增加 任何 一 点 点 对 系统 的 安全 性 。 再 给 出 一 个 实 
例 , 在 这 种 情况 下 隐藏 信息 可 以 增加 系统 的 安全 性 。 

4. 给 出 一 个 实例 ,在 此 情况 下 保密 性 的 破坏 导致 对 完整 性 的 破坏 。 

5. 证 明 这 三 种 安全 服务 (保密 性 、 完 整 性 和 可 用 性 ) 足 以 应 付 泄露 ,破坏 欺骗 和 算 夺 
等 的 威胁 。 

6. 针对 以 下 陈述 ,分 别 给 出 满足 其 中 陈述 的 实例 。 

(a) 防范 比 检测 和 恢复 更 重要 。 

(b) 检测 比 防范 和 恢复 更 重要 。 

(c) 恢复 比 防范 和 检测 更 重要 。 

7. 可 以 设计 并 实现 没有 任何 关于 信任 的 假设 的 系统 吗 ? 为 什么 ? 

8. 安全 策略 限制 在 某 个 特定 系统 中 的 电子 邮件 服务 只 针对 教职员 工 , 学 生 不 能 在 这 
台 主 机 中 收发 电子 邮件 。 将 以 下 机 制 归 类 为 安全 的 机 制 、 精 确 的 机 制 或 者 宽泛 的 机 制 。 
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(a) 发 送 和 接收 电子 邮件 的 程序 被 禁用 。 

(b) 在 发 送 或 接收 每 一 封 电 子 邮件 时 ,系统 在 一 个 数据 库 中 查询 该 邮件 的 发 送 者 (或 
接收 者 ) 。 如 果 此 人 名 字 出 现在 教职员 工 列表 中 , 则 该 邮件 被 处 理 ,否则 邮件 被 拒绝 (假定 
数据 库 条 目 是 正确 的 ) 

(c) 电子 邮件 发 送 程 序 询问 使 用 者 是 不 是 一 名 学 生 。 如 果 是 , 则 邮件 被 拒绝 ,而 接收 
电子 邮件 的 程序 则 被 禁用 。 

9. 用 户 通常 使 用 Internet 上 传 . 下 载 程序 。 给 出 实例 ,说 明 这 个 站 点 允许 用 户 这 样 
做 所 带 来 的 好 处 超过 了 因此 导致 的 危险 。 再 给 出 另 一 个 实例 ,说 明 站 点 允许 用 户 这 样 做 
所 导致 的 危险 超过 了 因此 所 带 来 的 好 处 。 

10. 一 位 受 人 尊敬 的 计算 机 科学 家 曾经 说 过 ,没有 计算 机 可 以 做 到 完美 地 安全 。 为 
什么 会 这 样 说 ? 


计算 机 安全 与 访问 控制 


访问 控制 是 通过 某 种 途径 显 式 地 准许 或 限制 主体 对 客体 访问 能 力 及 范围 的 一 种 方 
法 。 它 是 针对 越权 使 用 系统 资源 的 防御 措施 ,通过 限制 对 关键 资源 的 访问 ,防止 非法 用 户 
的 侵入 或 因为 合法 用 户 的 不 慎 操 作 而 造成 的 破坏 ,从 而 保证 系统 资源 受 控 地 、 合 法 地 使 
用 。 访问 控 制 的 目的 在 于 限制 系统 内 用 户 的 行为 和 操作 ,包括 用 户 能 做 什么 和 系统 程序 
根据 用 户 的 行为 应 该 做 什么 两 个 方面 。 访 问 控制 的 核心 是 授权 策略 。 授 权 策略 是 用 于 确 
定 一 个 主体 是 否 能 对 客体 拥有 访问 能 力 的 一 套 规则 。 在 统一 的 授权 策略 下 ,得 到 授权 的 
用 户 就 是 合法 用 户 ,否则 就 是 非法 用 户 。 访 问 控制 模型 定义 了 主体 .客体 .访问 是 如 何 表 
示 和 三 者 之 间 是 如 何 操作 的 , 它 决 定 了 授权 策略 的 表达 能 力 和 灵活 性 。 若 以 授权 策略 来 
划分 ,访问 控制 模型 可 分 为 传统 的 访问 控制 模型 和 新 型 访问 控制 模型 。 传 统 的 访问 控制 
模型 有 两 种 , 即 自 主 访问 控制 (discretionary access control, DAC) 和 强制 访问 控制 
(mandatory access control, MAC); 新 型 访问 控制 模型 主要 分 为 基于 角色 的 访问 控制 
(role-based access control,RBAC) 模 型 .基于 任务 的 访问 控制 (task-based access control， 
TBAC) 模 型 .基于 任务 和 角色 的 访问 控制 T-RBAC 模型 等 。 


2.1 访问 控制 模型 


计算 机 网 络 上 的 资源 分 为 两 部 分 , 即 动态 资源 和 静态 资源 。 动 态 资源 是 指 在 计算 机 
网 络 上 传输 的 数据 ,文件 ,以 及 接 在 计算 机 网 络 上 的 主机 正在 运行 的 程序 和 数据 库 等 。 表 
态 资源 是 指 存放 于 接 在 计算 机 网 络 上 主机 而 没有 运行 的 程序 和 数据 资源 。 对 计算 机 网 络 
上 的 资源 保护 ,通常 是 划分 为 两 种 资源 的 保护 : 一 是 对 在 计算 机 网 络 上 传输 的 资源 保护 ; 
二 是 对 接 在 计算 机 网 络 上 的 主机 资源 进行 保护 。 对 在 计算 机 网 络 上 传输 资源 的 保护 通常 
是 以 加 密 方法 实现 ,而 对 接 在 计算 机 网 络 上 主机 的 资源 进行 保护 主要 是 通过 访问 控制 来 
实现 保护 的 。 

访问 控制 就 是 对 接 在 计算 网 络 上 的 主机 资源 实行 有 效 的 保护 。 从 范围 来 划分 ,有 基 
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于 单个 主机 的 访问 控制 和 基于 区 域 计 算 机 网 络 的 访问 控制 。 从 具体 的 实现 方面 来 划分 ， 
有 访问 控制 法 和 防火 墙 技术 两 种 方法 。 实 际 上 ,对 于 接 在 计算 机 网 络 上 单个 主机 的 访问 
控制 ,通常 是 采用 访问 控制 方法 ,而 对 于 接 在 计算 机 网 络 上 一 个 区 域 的 多 个 主机 的 访问 控 
制 ,通常 是 通过 防火 墙 技术 来 实现 。 

进一步 说 访问 控制 可 以 防止 未 经 授权 的 用 户 非法 使 用 系统 资源 ,这 种 服务 不 仅 可 以 
提供 给 单个 用 户 , 也 可 以 提供 给 用 户 组 的 所 有 用 户 。 访 问 控制 是 通过 对 访问 者 的 有 关 信 
息 进行 检查 来 限制 或 禁止 访问 者 使 用 资源 的 技术 ,分 为 高 层 访问 控制 和 低层 访问 控制 。 
高 层 访问 控制 包括 身份 检查 和 权限 确认 ,是 通过 对 用 户口 令 、 用 户 权 限 、 资 源 属性 的 检查 
和 对 比 来 实现 的 。 低 层 访问 控制 是 通过 对 通信 协议 中 的 某 些 特征 信息 的 识别 .判断 ,来 禁 
止 或 允许 用 户 访问 的 措施 (图 2. 1)。 


安全 管理 员 


| 访问 控制 


i 参照 器 le 
be 


“~ 审计 功能 -一 
图 2.1 访问 控制 的 基本 结构 


2.2 自主 访问 控制 DAC 


自主 访问 控制 是 基于 主体 或 主体 所 在 组 的 身份 的 ,这 种 访问 控制 是 可 选择 性 的 ,也 就 
是 说 ,如 果 一 个 主体 具有 某 种 访问 权 , 则 它 可 以 直接 或 间接 地 把 这 种 控制 权 传递 给 别 的 主 
体 ( 除 非 这 种 授权 是 被 强制 型 控制 所 禁止 的 ) 。 

自主 访问 控制 被 内 置 于 许多 操作 系统 当中 ,是 任何 安全 措施 的 重要 成 部 分 。 文 件 拥 
有 者 可 以 授予 一 个 用 户 或 一 组 用 户 访问 权 。 选 择 性 访问 控制 在 网 络 中 有 着 广泛 的 应 用 ， 
下 面 将 着 重 介 绍 网 络 上 的 选择 性 访问 控制 的 应 用 。 

在 网 络 上 使 用 自主 访问 控制 应 考虑 如 下 几 点 : 

(1) 某 人 可 以 访问 什么 程序 和 服务 ? 

(2) 某 人 可 以 访问 什么 文件 ? 

(3) 谁 可 以 创建 . 读 取 或 删除 某 个 特定 的 文件 ? 

(4) 谁 是 管理 员 或 “超级 用 户 ”? 

(5) 谁 可 以 创建 .删除 和 管理 用 户 ? 

(6) 某 人 属于 什么 组 ,以 及 相关 的 权利 是 什么 ? 

(7) 当 使 用 某 个 文件 或 目录 时 ,用户 有 哪些 权利 ? 

Windows NT 提供 两 种 选择 性 访问 控制 方法 来 帮助 控制 某 人 在 系统 中 可 以 做 什么 ， 
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一 种 是 安全 级 别 指定 , 另 一 种 是 目录 /文件 安全 。 

下 面 是 常见 的 安全 级 别 内 容 , 其 中 也 包括 了 一 些 网 络 权力 。 

(1) 管理 员 组 享受 广泛 的 权力 ,包括 生成 、 消 除 和 管理 用 户 账户 .全 局 组 和 局 部 组 , 共 
享 目 录 和 打印 机 ,认可 资源 的 许可 和 权利 ,安装 操作 系统 文件 和 程序 。 

(2) 服务 器 操作 员 具 有 共享 和 停止 共享 资源 、 锁 住 和 解锁 服务 器 、 格 式 化 服务 器 硬 
盘 、. 登 录 到 服务 器 以 及 备份 和 恢复 服务 器 的 权力 。 

(3) 打印 操作 员 具 有 共享 和 停止 共享 打印 机 、 管 理 打印 机 、 从 控制 台 登 录 到 服务 器 以 
及 关 掉 服务 器 等 权力 。 

(4) 备份 操作 员 具 有 备份 和 恢复 服务 器 .从 控制 台 登 录 到 服务 器 和 关 掉 服务 器 等 
释 罚 5x 

(5) 账户 操作 员 具 有 生成 .取消 和 修改 用 户 、 全 局 组 和 局 部 组 ,不 能 修改 管理 员 组 或 
服务 器 操作 员 组 的 权力 。 

(6) 复制 者 与 目录 复制 服务 联合 使 用 。 

(7) 用 户 组 可 执行 授予 它们 的 权力 ,访问 授予 它们 访问 权 的 资源 。 

(8) 访问 者 组 仅 可 执行 一 些 非常 有 限 的 权力 ,所 能 访问 的 资源 也 很 有 限 。 

DAC 是 一 种 最 普遍 的 访问 控制 手段 。 在 这 种 方式 下 ,用户 可 以 按照 自己 的 意愿 对 系 
统 参数 适当 进行 修改 ,以 决定 哪些 用 户 可 以 访问 他 的 文件 。 


2.3 强制 性 访问 控制 MAC 


强制 性 访问 控制 源 于 对 信息 机 密 性 的 要 求 以 及 防止 特洛伊 木马 之 类 的 攻击 。MAC 
通过 无 法 回避 的 存 取 限 制 来 阻止 直接 或 间接 的 非法 入 侵 。 系 统 中 的 主 /客体 都 被 分 配 一 
个 固定 的 安全 属性 ,利用 安全 属性 决定 一 个 主体 是 否 可 以 访问 某 个 客体 。 安 全 属性 是 强 
制 性 的 ,由 安全 管理 员 (security officer) 分 配 ,用 户 或 用 户 进程 不 能 改变 自身 或 其 他 
主 / 客 体 的 安全 属性 。MAC 的 本 质 是 基于 格 的 非 循环 单 向 信息 流 政策 ,系统 中 每 个 主体 
都 被 授予 一 个 安全 证 书 , 而 每 个 客体 被 指定 为 一 定 的 敏感 级 别 。 访 问 控制 的 两 个 关键 规 
则 是 : 不 向 上 读 和 不 向 下 写 , 即 信息 流 只 能 从 低 安 全 级 向 高 安全 级 流动 。 任 何 违反 非 循 
环 信息 流 的 行为 都 是 被 禁止 的 。 

在 强制 访问 控制 下 ,用 户 ( 或 其 他 主体 ) 与 文件 (或 其 他 客体 ) 都 被 标记 了 固定 的 安全 
属性 (如 安全 级 .访问 权限 等 ) ,在 每 次 访问 发 生 时 ,系统 检测 安全 属性 以 便 确 定 一 个 用 户 
是 否 有 权 访问 该 文件 。 

强制 访问 控制 是 “强加 ?给 访问 主体 的 , 即 系统 强制 主体 服从 访问 控制 政策 。 强 制 访 
问 控制 (MAC) 的 主要 特征 是 对 所 有 主体 及 其 所 控制 的 客体 (例如 : 进程 文件. 段 . 设 备 ) 
实施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 是 等 级 分 类 和 非 等 级 分 
类 的 组 合 ,它们 是 实施 强制 访问 控制 的 依据 。 系 统 通过 比较 主体 和 客体 的 敏感 标记 来 决 
定 一 个 主体 是 否 能 够 访问 某 个 客体 。 用 户 的 程序 不 能 改变 他 自己 及 任何 其 他 客体 的 敏感 
标记 ,从 而 使 系统 可 以 防止 特洛伊 木马 的 攻击 。 
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强制 访问 控制 一 般 与 自主 访问 控制 结合 使 用 ,并 且 实 施 一 些 附加 的 、 更 强 的 访问 限 
制 。 一 个 主体 只 有 通过 了 自主 与 强制 性 访问 限制 检查 后 ,才能 访问 某 个 客体 。 用 户 可 以 
利用 自主 访问 控制 来 防范 其 他 用 户 对 自己 客体 的 攻击 ,由 于 用 户 不 能 直接 改变 强制 访问 
控制 属性 ,所 以 强制 访问 控制 提供 了 一 个 不 可 逾越 的 、 更 强 的 安全 保护 层 以 防止 其 他 用 户 
偶然 或 故意 滥用 自主 访问 控制 。 

MAC 起 初 主要 用 于 军 方 的 应 用 中 ,并 且 常 与 DAC 结合 使 用 ,主体 只 有 通过 了 DAC 
与 MAC 的 检查 后 ,才能 访问 某 个 客体 。 由 于 MAC 对 客体 施加 了 更 严格 的 访问 控制 , 因 
而 可 以 防止 特洛伊 木马 之 类 的 程序 偷窃 ,同时 MAC 对 用 户 意外 泄露 机 密 信息 也 有 预防 
能 力 。 但 如 果 用 户 恶意 泄露 信息 , 则 可 能 无 能 为 力 。 由 于 MAC 增加 了 不 能 回避 的 访问 
限制 ,因而 影响 了 系统 的 灵活 性 ; 另 一 方面 ,虽然 MAC 增强 了 信息 的 机 密 性 ,但 不 能 实 
施 完整 性 控制 ; 再 者 网 上 信息 更 需要 完整 性 ,否则 会 影响 MAC 的 网 上 应 用 。 在 MAC 系 
统 实现 单 向 信息 流 的 前 提 是 系统 中 不 存在 逆向 潜 信道 。 北向 潜 信道 的 存在 会 导致 信息 违 
反 规 则 的 流动 。 但 现代 计算 机 系统 中 这 种 潜 信道 是 难以 去 除 的 ,如 大 量 的 共享 存储 器 以 
及 为 提升 硬件 性 能 而 采用 的 各 种 Cache 等 ,这 给 系统 增加 了 安全 隐患 。 


2.4 基于 用 户 的 访问 控制 RBAC 


为 了 克服 标准 矩阵 模型 中 将 访问 权 直 接 分 配给 主体 ,引起 管理 困难 的 缺陷 ,在 访问 控 
制 中 引进 了 聚合 体 (aggregation) 概 念 ,如 组 .角色 等 。 在 RBAC 模型 中 ,就 引进 了 “角色 ” 
概念 。 所 谓 角色 ,就 是 一 个 或 一 群 用 户 在 组 织 内 可 执行 的 操作 的 集合 。 角 色 意 味 着 用 户 
在 组 织 内 的 责任 和 职能 。 在 RBAC 模型 中 ,权限 并 不 直接 分 配给 用 户 , 而 是 先 分 配给 角 
色 , 然 后 用 户 分 配给 那些 角色 ,从 而 获得 角色 的 权限 。RBAC 系统 定义 了 各 种 角色 ,每 种 
角色 可 以 完成 一 定 的 职能 ,不 同 的 用 户 根据 其 职能 和 责任 被 赋予 相应 的 角色 ,一 旦 某 个 用 
户 成 为 某 角 色 的 成 员 , 则 此 用 户 可 以 完成 该 角色 所 具有 的 职能 。 在 RBAC 中 ,可 以 预先 
定义 角色 -权限 之 间 的 关系 ,将 预先 定义 的 角色 赋 巴 用户, 明确 责任 和 授权 ,从 而 加 强 安 全 
策略 。 与 把 权限 赋予 用 户 的 工作 相 比 ,把 角色 赋予 用 户 要 容易 灵活 得 多 ,这 简化 了 系统 的 
管理 。 

2001 年 ,标准 的 RBAC 参考 模型 NIST RBAC 被 提出 ,如 图 2.2 所 示 。 


2.2 NIST RBAC 参考 模型 


NIST RBAC 参考 模型 分 成 基本 RBAC、 等 级 RBAC 和 约束 RBAC 三 个 子 模型 。 基 
本 RBAC 定义 了 角色 的 基本 功能 , 它 包括 五 个 基本 数据 元 素 : Users (用户 )、Roles( 角 
色 )、Sessions( 会 话 集 ) .Objects( 客 体 )、Operations( 操 作 ) ,以 及 角色 权限 分 配 (PRA) .用 
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户 角色 分 配 (URA)。 其 基本 思想 是 通过 角色 建立 用 户 和 访问 权限 之 间 的 多 对 多 关系 ,用 
户 由 此 获得 访问 权限 。 

等 级 RBAC 在 基本 RBAC 的 基础 上 增加 了 角色 的 等 级 ,以 对 应 功能 的 或 组 织 的 等 级 
结构 。 角 色 等 级 又 可 分 为 通用 角色 等 级 和 有 限 角色 等 级 。 在 通用 角色 等 级 中 ,角色 之 间 
是 一 种 代数 的 偏 序 关系 ,而 有 限 角 色 等 级 是 一 种 树 结构 。 在 角色 等 级 中 ,高 等 级 的 角色 继 
承 低 等 级 角色 的 全 部 权限 ,这 是 一 种 “全 ”继承 关系 。 但 这 并 不 完全 符合 实际 企业 环境 中 
的 最 小 特权 原则 ,因为 企业 中 有 些 权 限 只 需 部 分 继承 。 

约束 RBAC 在 基本 RBAC 的 基础 上 增加 了 职责 分 离 (SoD) 关 系 , 而 职责 分 离 又 分 为 
静态 职责 分 离 (SSD) 和 动态 职责 分 离 (DSD)。 静 态 职责 分 离 用 于 解决 角色 系统 中 潜在 的 
利益 冲突 ,强化 了 对 用 户 角色 分 配 的 限制 ,使 得 一 个 用 户 不 能 分 配给 两 个 互 斥 的 角色 。 动 
态 职责 分 离 用 于 在 用 户 会 话 中 对 可 激活 的 当前 角色 进行 限制 ,用 户 可 被 赋予 多 个 角色 ,但 
它们 不 能 在 同一 会 话 期 中 被 激活 。DSD 实际 上 是 最 小 权限 原则 的 扩展 , 它 使 得 每 个 用 户 
根据 其 执行 的 任务 可 以 在 不 同 的 环境 下 拥有 不 同 的 访问 权限 。 

NIST RBAC 参考 模型 中 还 包括 功能 规范 ,分 为 管理 功能 、 系 统 支持 功能 和 审查 功 
能 ,这 里 不 再 详 述 。 上 述 的 DAC, MAC 和 RBAC 都 是 基于 主体 -客体 (Subject-Object) 观 
点 的 被 动 安全 模型 ,它们 都 是 从 系统 的 角度 (控制 环境 是 静态 的 ) 出 发 保护 资源 。 在 被 动 
安全 模型 中 ,授权 是 静态 的 ,在 执行 任务 之 前 ,主体 就 拥有 权限 ,没有 考虑 到 操作 的 上 下 
文 , 不 适合 于 工作 流 系统 ; 并 且 主 体 一 旦 拥有 某 种 权限 ,在 任务 执行 过 程 中 或 任务 执行 完 
后 ,会 继续 拥有 这 种 权限 ,这 显然 使 系统 面临 极 大 的 安全 威胁 。 工 作 流 是 为 完成 某 一 目标 
而 由 多 个 相关 的 任务 (活动 ) 构 成 的 业务 流程 , 它 的 特点 是 使 处 理 过 程 自动 化 ,对 人 和 其 他 
资源 进行 协调 管理 ,从 而 完成 某 项 工作 。 在 工作 流 环境 中 , 当 数据 在 工作 流 中 流动 时 , 执 
行 操作 的 用 户 在 改变 ,用 户 的 权限 也 在 改变 ,这 与 数据 处 理 的 上 下 文 环境 相关 ,传统 的 访 
问 控制 技术 DAC 和 MAC 对 此 无 能 为 力 。 若 使 用 RBAC, 则 不 仅 需 频繁 更 换 角 色 ,而 且 
也 不 适合 工作 流程 的 运转 。 为 了 解决 此 问题 ,人 们 提出 了 基于 任务 的 访问 控制 模型 
TBAC。 

基于 任务 的 访问 控制 模型 是 一 种 以 任务 为 中 心 , 并 采用 动态 授权 的 主动 安全 模型 。 
TBAC 判断 是 否 授予 主体 访问 权限 时 ,要 考虑 当前 执行 的 任务 。 

基于 任务 的 访问 控制 TBAC 模型 是 一 种 以 任务 为 中 心 的 ,并 采用 动态 授权 的 主动 安 
全 模型 ,该 模型 的 基本 思想 是 授予 给 用 户 的 访问 权限 : 不 仅仅 依赖 主体 和 客体 ,还 依赖 于 
主体 当前 执行 的 任务 和 任务 的 状态 ; 当 任务 处 于 活动 状态 时 ,主体 拥有 访问 权限 ,一 旦 任 
务 被 挂 起 ,主体 拥有 的 访问 权限 就 被 冻结 ; 如 果 任 务 恢复 执行 ,主体 将 重新 拥有 访问 权 
限 ; 任务 处 于 终止 状态 时 ,主体 拥有 的 权限 马上 被 撤销 。TBAC 适用 于 工作 流 分 布 式 处 
理 、 多 点 访问 控制 的 信息 处 理 以 及 事务 管理 系统 中 的 决策 制定 ,但 最 显著 的 应 用 还 是 在 安 
全 工作 流 管理 中 。 

T-RBAC 模型 结合 了 基于 任务 的 访问 控制 模型 TBAC 和 基于 角色 的 访问 控制 模型 
RBAC 的 优点 , 较 好 地 解决 了 当前 工作 流 系统 中 存在 的 安全 性 问题 。 
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2.5 访问 控制 技术 


本 节 主 要 介绍 隔离 法 访问 控 制 矩阵 法 和 钥 - 锁 访问 控制 法 。 
2.5.1 隔离 法 


在 计算 机 网 络 系统 中 ,进行 访问 控制 最 直接 的 方法 就 是 给 每 个 用 户 建立 自己 的 复制 。 
主要 有 以 下 两 种 方法 。 

(1) 在 系统 中 ,把 各 种 活动 的 用 户 进程 分 配给 不 同 的 存储 器 ,使 得 每 个 用 户 仅 有 自己 
的 复制 。 

(2) 虚拟 机 理 法 。 每 个 用 户 仅 能 复制 他 正在 使 用 的 程序 , 仅 是 他 操作 系统 的 自己 的 
复制 ,所 以 也 称 此 方法 为 镜像 机 理 。 

图 2. 3 给 出 两 种 用 户 (A,B,C) 间 的 相互 隔离 方法 。 其 中 ,图 2. 3(a) 中 用 户 使 用 的 是 
他 自己 的 复制 程序 ; 图 2. 3(b) 中 每 个 用 户 拥有 自己 的 复制 程序 和 他 自己 的 操作 系统 。 
操作 系统 
用 户 A 
用 户 B 


用 户 C 
(a) 
需 镜像 
复制 A 的 | 复制 B 的 | 复制 C 的 
操作 系统 | 操作 系统 | 操作 系统 
A 的 程序 | B 的 程序 | C 的 程序 
和 数据 和 数据 和 数据 

(b) 


图 2.3 两 种 隔离 法 
采用 隔离 方法 进行 访问 控制 存在 的 问题 是 : 当 对 较 多 的 用 户 实现 控制 时 ,对 系统 的 
占用 是 无 法 忍受 的 ; 如 果 用 户 超过 一 定 的 数量 ,就 会 使 系统 无 法 工作 。 显 然 , 这 种 对 多 用 
户 来 说 是 无 法 实现 的 ,因为 受 计算 机 系统 资源 的 制约 。 


2.5.2 访问 控制 矩阵 法 


对 于 不 同 的 用 户 , 设 置 不 同 访问 控制 权限 的 另 一 种 方法 ,是 通过 设置 访问 控制 矩阵 实 
现 。 在 这 个 访问 控制 矩阵 中 ,矩阵 的 行 对 应 着 客体 , 列 对 应 着 主体 ,矩阵 的 元 素 对 应 着 访问 
权限 。 如 表 2. 1 所 示 , 用 户 A 被 授权 读 文件 F 和 执行 程序 P, 程 序 了 被 授权 读 文件 F 和 G, 对 
文件 F 进行 写 操作 和 执行 程序 Q。 用 户 A 不 能 读 文件 G, 但 是 能 通过 执行 程序 了 来 读 文件 G。 
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在 系统 设计 中 ,通常 用 “0” 来 表示 访问 权限 ,“1” 表 示 执 行 权 限 ,“2” 表 示 只 读 权限 ,“3” 
表示 可 写 权 限 ,“4” 表 示 拥 有 权限 。 因 此 , 表 2. 1 可 改写 为 表 2.2 所 示 。 
表 2.1 访问 控制 矩阵 


客体 
主体 
文件 了 文件 G 程序 P 程序 Q 
用 户 A 读 执行 
读 读 执行 
程序 P 号 读 
表 2.2 访问 控制 矩阵 
客体 
主体 
文件 F 文件 G 程序 P 程序 Q 
用 户 A 2 1 
2 2 1 
程序 P 要 


访问 控制 矩阵 有 如 下 两 种 形式 。 

(1) 访问 列表 (access list) 

通常 是 建立 在 文件 目录 里 ,对 每 一 个 文件 进行 指定 ,是 用 来 识别 访问 控制 矩阵 中 的 列 
所 对 应 的 客体 。 

(2) 能 力 列表 (capability list) 

它 是 针对 主体 设计 的 。 当 一 个 主体 具有 访问 客体 权限 时 ,其 权限 称 作 主 体能 力 ,如 


图 2.4 所 示 。 
能 力 列表 客体 
RW A 
E 


图 2.4 能 力 列表 


在 这 个 能 力 列表 系统 中 ,主体 对 客体 A 具有 读 、 写 权限 ; 对 客体 B 有 执行 权限 。 能 
力 列表 和 访问 列表 访问 权限 的 查找 是 在 整个 系统 中 进行 的 。 所 以 ,查找 是 非常 费时 间 的 ， 
因为 查找 某 个 用 户 对 某 个 文件 的 访问 权限 ,需要 查找 所 有 的 项 。 


2.5.3 钥 - 锁 访问 控制 法 


为 了 提高 访问 控制 效率 ,可 采用 钥 - 锁 访问 控制 法 。 在 这 个 系统 中 ,每 一 个 用 户 拥有 一 
个 钥匙 ,每 一 个 文件 拥有 一 个 锁 。 当 一 个 用 户 访问 一 个 文件 时 , 钥 - 锁 访问 控制 系统 通过 
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对 用 户 密 钥 和 文件 的 操作 来 验证 对 文件 的 访问 权限 ,其 基本 原理 如 图 2. 5 所 示 。 


主体 系统 客体 
素数 表 访问 输出 
用 户 > | 
文件 系统 文件 
文件 和 用 户 密 钥 表 


图 2.5 钥 - 锁 访问 控制 


其 访问 控制 原理 是 基于 孙子 剩余 定理 。 对 于 这 样 的 访问 控制 ,用 户 可 增加 新 的 文件 
和 用 户 , 但 是 不 允许 删除 文件 和 用 户 。 下 面 给 出 具有 8 个 用 户 和 8 个 文件 的 访问 控制 实现 
方法 。 它 由 三 个 部 分 组 成 , 即 素数 表 、 文 件 密 钥 表 和 用 户 密 钥 表 , 如 表 2. 3 一 表 2. 5 所 示 。 


表 2.3 素数 表 
m1 m2 ms ma ms me 7727 ms 7729 77210 77211 
PN 11 13 17 19 23 29 31 37 41 47 
表 2.4 文件 密 钥 表 
用 户 用 户 密 钥 文件 数 素数 项 
U 392 230 3 0 
U: 687 040 5 0 
Us 8725 5 0 
U 1 401 480 5 0 
Us 899 045 5 0 
Us 9 068 532 6 0 
U， 922 626 6 0 
Us 1 807 021 324 7 1 
表 2.5 用 户 密 钥 表 

文件 文件 密 钥 用 户 数 素数 项 
F 

F, 

Fs 

F 

Fs 

Fs 135 257 5 0 
FE， 1 960 733 880 ? 1 

Fs 147 430 123 672 8 1 
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在 上 列表 中 ,文件 密 钥 和 用 户 密 钥 通过 下 式 计算 得 到 : 

Ki=ratratt traP te 

Kj;=rytrytt "tr Ut 
其 中 ,K; 为 第 i 个 文件 密 钥 ; K; 为 第 j 个 用 户 密 钥 ; 1;-1 为 第 i 个 用 户 的 锁定 值 ; 4;-1 为 
第 j 个 文件 锁定 值 ; xij 为 访问 权限 ; nF 为 文件 数 ; zU 为 用 户 数 。 第 i 个 用 户 访 问 第 j 个 
文件 的 权限 ,如 果 nF; 宇 j, 便 可 通过 下 式 计算 得 到 : 

K; 
iy Tm; FEPn; 

其 中 ,K; 为 第 i 个 用 户 的 密 钥 ; EPn; 为 用 户 密 钥 表 中 所 对 应 的 素数 项 的 数 ; nF; 为 用 户 
密 钥 表 中 所 对 应 的 文件 数 。 如 果 nF; 二 j, 以 上 各 个 变量 表示 是 文件 密 钥 表 中 的 数 ,按照 
以 上 的 计算 可 得 表 2. 6。 


(mod nF.;) 


表 2.6 基于 钥 - 锁 访问 控制 


F F: Fs F, Fs Fe F Fs 
UD 4 4 1 2 0 0 2 3 
U: 3 3 4 4 0 1 1 0 
Us L 3 1 3 4 4 2 0 
U, 1 2 1 0 2 3 0 1 
Us 0 1 2 0 3 3 2 1 
Us 2 0 1 1 3 0 4 0 
U 1 1 3 2 . 4 0 1 
Un 2 1 虽 3 2 0 


访问 控制 是 一 种 重要 的 信息 安全 技术 ,是 现代 商务 企业 保障 其 信息 管理 系统 安全 不 
可 缺少 的 。 网 络 技术 的 发 展 为 访问 控制 技术 提供 了 更 为 广阔 的 发 展 空 间 , 也 使 得 对 访问 
控制 技术 的 研究 显得 尤其 重要 。 因 篇 幅 所 限 ,本文 只 对 几 种 主要 的 访问 控制 模型 作 了 概 
述 。 事实 上 , 仅 RBAC 模型 就 有 多 种 。 很 多 问题 ,如 权限 表示 方法 等 ,有 待 进一步 研究 。 


习题 


1. 访问 控制 的 类 型 有 哪 几 类 ?其 工作 原理 是 什么 。 
2. 观察 下 面 的 访问 控制 矩阵 : 


O 0O; O; O, Ss S: Ss 
Si TWO Ey > = TWO w Le 
S; = I,W,0 i TywWyO TWO 
S; 二 二 T，WwyO es 5 Sa TWO 


其 中 ,S; 是 系统 进程 ,0; 是 对 应 系统 文件 的 进程 处 理 的 对 象 。r,w 和 o 分 别 代 表 了 读 、 写 
和 拥有 的 动作 权限 , 问 进程 S, 能 否 读 O, 文件 对 象 ? 
3. 试 述 隔 离 法 ,访问 控制 矩阵 法 和 钥 - 锁 控制 法 的 区 别 。 


要 开发 安全 系统 ,首先 必须 建立 系统 的 安全 模型 。 安 全 模型 给 出 安全 系统 的 形式 化 
定义 ,正确 地 综合 系统 的 各 类 因素 ,包括 系统 的 使 用 方式 、 使 用 环境 类 型 .授权 的 定义 、 受 
控制 的 共享 等 ,这 些 因素 构成 安全 系统 的 形式 化 抽象 描述 。 安 全 模型 允许 使 用 数学 方法 
证 明 系统 是 否 安全 ,或 发 现 系 统 的 安全 缺陷 。 安 全 模型 的 目的 是 保护 计算 机 系统 的 机 密 
性 和 完整 性 ,其 研究 可 追溯 到 20 世纪 60 年 代 , 随 着 支持 远程 访问 和 分 时 多 用 户 系 统 的 使 
用 ,共享 计算 机 系统 的 安全 问题 日 益 引 起 重视 。 安 全 问题 一 直 是 计算 机 科学 的 中 心 问题 
之 一 。 在 三 十 多 年 的 发 展 中 ,先后 提出 了 多 种 安全 模型 ,其 中 一 些 主要 模型 形成 于 20 世 
纪 70 年 代 到 80 年 代 初 期 ,如 著名 的 访问 矩阵 模型 .BLP 模型 HRU 模型 . 格 模型 .无 干 
扰 模 型 等 。 这 些 早期 安全 模型 从 各 个 不 同 的 方面 对 安全 问题 进行 抽象 ,对 安全 系统 的 研 
究 与 开发 具有 重要 的 意义 ,本 书 中 称 这 些 安全 模型 为 经 典 模型 。 研 究 这 些 模 型 ,对 我 们 全 
面 理解 计算 机 系统 的 安全 问题 具有 重要 意义 。 


3.2 经 典 模型 及 分 类 


3.2.1 经 典 模型 


最 早 的 形式 化 安全 模型 可 追溯 到 C. Weissman 1969 年 发 表 的 高 水 标 C(high-water- 
mark) 模 型 。 迄 今 已 有 多 种 安全 模型 发 表 于 公开 刊物 上 。1981 年 , Landwehr 综述 了 
10 种 安全 模型 ,其 中 重点 评述 了 高 水 标 模型 .访问 矩阵 (access matrix) 模 型 .BLP 模型 和 
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格 (Lattice) 模 型 。Landwehr 将 安全 模型 近似 地 分 为 三 类 : 访问 控制 模型 .信息 流 模型 和 
程序 通道 模型 。 程 序 通道 模型 所 面向 的 安全 问题 是 信息 流 的 演绎 性 质 , 即 系统 中 实体 通 
过 观察 系统 部 分 行为 ,从 中 推断 系统 的 其 他 行为 ,这 种 性 质 本 质 仍 属 信息 流 的 干扰 性 质 。 
1994 年 ,John McLean 在 他 的 论文 中 讨论 了 两 类 三 种 具有 重要 影响 的 模型 , HRU 模型 、 
BLP 模型 和 无 干扰 模型 ,同时 还 提 到 了 另外 9 种 模型 ,其 中 除 Clark_Wilson 模型 外 ,其 他 
8 种 基本 上 都 是 上 述 三 种 模型 的 扩展 或 限制 。Silvana Castano 等 人 在 他 们 的 著作 中 综述 
了 11 种 安全 模型 ,将 他 们 分 为 两 类 , 即 自主 访问 控制 和 强制 访问 控制 。 

表 3.1 列 出 了 几 种 早期 最 重要 的 安全 模型 ,并 将 它们 称 为 经 典 模型 。 这 些 模型 有 如 
下 特点 : 

Oa 模型 是 开创 性 的 ; 

@ 模型 所 定义 的 安全 问题 具有 典型 性 ; 

@ 模型 对 后 续 的 研究 具有 重要 影响 ; 

@ 它们 的 研究 基本 覆盖 了 安全 研究 的 各 个 侧面 。 


表 3.1 经 典 模型 及 分 类 


模型 分 类 模 型 作 者 年 代 说 明 
Access Matrix Model | Butler W. Lampson 1971 机 密 性 
自主 访问 控制 Michael A. Harrison， 
访问 控制 HRU Model Walter L. Ruzzo, Jeffrey 1976 机 密 性 
模型 
D. Ullman 
D. Elliott Bell, Leonard 
强制 访问 控制 ”| BLP Model J. Lapadula 1973 “| 机 密 性 
信息 流 信息 流 控制 Lattice Model Dorothy E. Denning 1975 di 
分开 完美 安全 模型 ”| Non-interference Model 和 1982 机 本 性 
Meseguer 完整 性 


3.2.2 经 典 模型 分 类 


安全 模型 可 分 为 两 大 类 , 即 访问 控制 模型 和 信息 流 模型 。 按 此 分 类 的 经 典 模型 见 
表 3.1。 最 早期 的 形式 化 模型 基本 上 都 属于 访问 控制 模型 。 访 问 控制 模型 也 可 形象 地 称 
为 “公文 世界 模型 ”, 是 现实 公文 世界 保密 管理 机 制 的 数学 抽象 ,直接 背景 是 军事 安全 的 组 
织 模型 。 访 问 控制 模型 在 操作 系统 和 数据 库 系统 中 都 有 典型 的 应 用 ,如 UNIX 操作 系统 
中 的 访问 控制 机 制 。 

访问 控制 模型 又 可 分 为 两 种 , 即 自主 访问 控制 (DAC) 和 强制 访问 控制 (MAC)。 自 主 
访问 控制 是 最 常用 的 一 类 模型 , 它 基于 客体 -主体 间 的 所 属 关系 ,根据 主体 所 属 的 组 来 限 
制 对 客体 的 访问 。 所 谓 自主 ,是 指 主体 可 以 根据 自己 的 意愿 将 访问 控制 权限 授予 其 他 主 
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体 ,或 从 其 他 主体 那里 收回 访问 权限 。 也 就 是 说 ,DAC 的 基本 思想 是 将 用 户 作 为 客体 的 
拥有 者 , 它 有 权 自 主 地 决定 哪些 用 户 可 以 访问 他 的 客体 。 在 强制 访问 控制 模型 中 ,主体 不 
能 修改 访问 权 , 也 不 能 将 自己 的 访问 权 授予 其 他 主体 。MAC 的 最 初 目标 是 军事 领域 安 
全 ,防止 非法 获取 敏感 信息 ,因此 在 MAC 模型 中 ,主体 和 客体 都 有 固定 的 安全 属性 。 这 
些 安全 属性 由 系统 设置 ,并 只 由 系统 使 用 ,系统 按 主体 和 客体 的 安全 级 别 决定 主体 是 否 有 
权 访 问 客 体 。 

访问 控制 模型 试图 控制 系统 的 行为 来 保证 系统 的 安全 性 。 与 访问 控制 模型 不 同 , 信 
息 流 模型 的 目的 是 控制 系统 内 的 信息 流 , 防 止 未 经 许可 的 信息 流 。 因 此 ,信息 流 模型 所 研 
究 的 是 信息 在 各 系统 实体 的 流动 以 及 由 此 所 产生 的 系统 实体 间 的 相互 关系 。 在 理论 上 ， 
信息 流 模 型 可 以 有 效 地 防止 隐 项 信息 流 。 与 访问 控制 模型 相 比 ,信息 流 模型 在 本 质 上 更 
抽象 。 

在 这 里 我 们 讨论 两 种 信息 流 模 型 , 即 格 模型 和 无 干扰 模型 。Dorothy E. Denning 提 
出 使 用 格 模型 定义 信息 流 的 控制 结构 ,将 信息 流 抽象 为 安全 等 级 间 的 偏 序 关 系 。 在 这 种 
偏 序 关系 下 ,安全 等 级 构成 一 个 全 有 界 的 格 。 由 于 格 本 身 是 纯 数学 结构 ,所 以 格 模型 是 一 
类 更 为 抽象 的 安全 模型 。 我 们 知道 ,BLP 模型 经 常 被 批评 为 没有 彻底 形式 化 ,因为 在 
BLP 模型 中 . 作为 原 于 操作 的 “ 读 ” 和 “ 写 ” 很 难 被 形式 化 。 

无 干扰 模型 也 被 称 为 “完美 模型 (perfect model)”, 是 由 Joseph A. Goguen 和 Jose 
Meseguer 在 他 们 的 开创 性 论文 中 提出 的 一 种 形式 化 信息 流 模型 。 直 观 地 说 ,所 谓 无 干扰 
是 指 系统 一 个 用 户 在 系统 中 的 行为 不 会 影响 另 一 个 用 户 所 观察 到 的 系统 行为 。Goguen 
和 Meseguer 的 无 干扰 概念 可 以 表述 为 : 为 保证 不 存在 从 用 户 A 到 用 户 B 的 信息 流 ,只 
需要 保证 用 户 A 的 行为 不 会 影响 用 户 B 的 观察 视图 , 即 用 户 B 所 看 到 的 系统 行为 与 用 户 
A 的 行为 无 关 。 


3.3 访问 控制 模型 


3.3.1 访问 矩阵 


B. W. Lampson 使 用 主体 、 客 体 和 访问 矩阵 等 概念 ,第 一 次 对 访问 控制 问题 进行 形式 
化 抽象 。 该 模型 相当 简单 ,因而 被 广泛 应 用 。 访 问 和 矩阵 包含 三 类 主要 对 象 : 客体 集 0, 表 
示 访 问 操作 中 的 被 动 实体 ; 主体 集 S, 表 示 访 问 操作 中 的 主动 实体 ; 访问 规则 集 R, 也 称 
权限 集 , 它 规定 主体 对 客体 的 操作 。 典 型 的 客体 是 文件 ,终端 ,设备 以 及 其 他 一 些 操作 系 
统 实体 。 主 体 可 能 同时 也 是 客体 , 即 其 他 主体 可 对 其 执行 读 操作 或 其 他 操作 。 访 问 矩 阵 
是 一 个 正 交 数 组 ,每 个 矩阵 元 素 表 示 主 体 对 客体 的 访问 方式 。 

典型 的 访问 方式 包括 读 、 写 添加 、 执 行 以 及 所 属 关系 。 实 际 上 ,访问 矩阵 还 定义 了 系 
统 的 当前 安全 状态 。 系 统 的 所 有 安全 状态 可 表示 为 一 个 矩阵 阵列 。 特 定 的 操作 引起 系统 
安全 状态 的 转移 ,并 进入 下 一 个 安全 保护 。 如 文件 主体 删除 文件 后 ,与 该 文件 相应 的 矩阵 
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行 也 被 删除 ,由 此 得 到 的 新 矩阵 表示 了 后 继 的 安全 状态 。 
我 们 以 Qi=(Si,O ,MD 表示 系统 的 状态 ,也 称 为 格局 (configuration)。 操 作 的 系统 
状态 转移 可 以 表示 为 
Qi 三 二 opQ; 十 1 
即 执行 操作 op 后 ,系统 格局 的 变化 。 由 于 访问 矩阵 模型 是 对 系统 状态 的 抽象 ,与 安全 策 
略 的 执行 机 制 无 关 , 因 此 该 模型 实现 了 策略 执行 机 制 与 策略 本 身 的 分 离 。 


3.3.2 HRU 模型 


1976 年 ,M. A. Harrison、W. L.Ruzzo 和 J.D. Ullman 发 表 了 他 们 关于 操作 系统 保护 
的 基本 理论 ,描述 了 HRU 模型 。 模 型 使 用 的 基本 概念 包括 : 主体 .客体 .访问 矩阵 、 格 
局 操作、 命令 和 保护 系统 。 其 中 访问 矩阵 是 HRU 模型 中 的 最 主要 的 概念 之 一 。 保 护 系 
统 的 定义 如 下 。 
HRU 模型 的 一 个 保护 系统 由 以 下 两 部 分 构成 : 
(1) 访问 规则 集 R, 在 HRU 模型 中 称 为 权限 集 ; 
(2) 命令 集 C, 其 命令 形式 为 
command C(X ，… ,Xe ) 
if rl in M[Xsl,Xol] 人 … 人 rm in M[Xsm, Xom] 
then opl, … ,opn 
end 
其 中 ,Xi ,…,X 是 形式 参数 ; i ,… ,rs 是 访问 权限 ; 9 ,… ,sm 和 o1,… ,om 是 从 1 到 上 的 
下 整数 。 如 果 m 二 0, 命 令 没有 条 件 部 分 ,可 简单 地 写成 以 下 非 条 件 命 令 : 
command C(X ，… ,Xe ) 
opl, … ,opn 
end 
每 个 操作 op ,… ,op, 是 表 HRU 中 的 6 个 原 语 操作 之 一 。 
原 语 操作 会 改 保 护 变 系统 的 格局 。 格 局 (SO,M) 在 操作 op 作用 下 转移 到 格局 (S ， 
O' ,MD), 记 作 (S.0,M) = 二 这 op (S',O', M')。 完 成 这 一 转移 的 规则 全 部 列 在 表 
HRU 中 。 
每 个 命令 都 封装 了 一 组 原 语 操作 ,因此 ,命令 会 引起 系统 格局 的 系列 变化 。 如 果 有 一 
组 参数 zi ,… ,zi , 当 系 统 执行 特定 的 命令 C(x ,… ,zt) 时 ,系统 格局 会 产生 下 列 变化 , 即 
存在 一 个 格局 序列 Q, ,…,Q, ,使 得 
Q=Q=>op1Q:=>op:*…=>op,Q,=Q 
则 称 Q 上 FcQ' ,其 中 op; 表示 以 实 参 z,… ,zi 替换 形 参 Xi ,… ,Xi 后 ,命令 C 所 执行 的 
原 语 操作 。 在 下 面 的 定义 中 ,用 记号 上 * Q 表示 Q 执行 0 次 或 多 次 命令 后 转移 到 格 
局 Q。 


表 3.2 HRU 原 语 操作 及 转移 规则 


原 语 操作 解释 结构 格局 (S ,O' ,M') 
S'=S,0 =0O,M[s,o]=M[s,o]U 
enter r into M[s,0] 授予 主体 s 对 OO 访问 权 r {r) 当 天 so 了 关 o 时 ,M'[s',o]== 
M[s',o'] 
S’=S,0'=O,M’[s,o]=M[s,o] 
delete r from M[s,o] 收回 主体 S 对 O 访问 权 ~ {7} 当 s 关 5,0 关 o 时 ,M'[s',o]= 
M[s ,o] 
S 二 SU{s},0 二 OU 1{s} 对 所 有 s€S,o€ 
create subject s 增加 一 个 新 主体 S O,M [5,0]=MEsy0] 理 则 M' [sa 一 人 
S'=S 一 {s),0' = 二 0 一 {s} 对 所 有 s€ 
destroy subject s 删除 一 个 旧 主 体 S S',0€O',M'[s,0]—=M[s,0] 
. S =S,O=OU{o} 对 所 有 sES,oEO， 
人 人 M'[s,0] 一 M[s,0] 否 则 Ma]= 儿 
destroy object o 删除 一 个 旧 客 体 O S S00 


O',M’[s,o]=M[s,0] 


定义 (HRUi) 假设 给 定 一 个 保护 系统 中 的 权限 x, 如 果 存 在 格局 Q 和 一 个 命令 C, 系 
统 从 初始 格局 Qu 出 发 ,使 得 : 

(1) Q@ 上 * Q 即 存在 命令 串 CG,…,C, 和 格局 Q ,QQ FaQ 上 cr FenQ, 二 Q; 

(2) C 在 Q 上 泄露 权限 7+, 即 C 中 有 原 语 将 -~ 加 入 到 访问 矩阵 中 原来 不 含 ~ 的 元 素 
中 ; 则 称 Qu 对 7 是 不 安全 的 。 如 果 Q 对 不 是 不 安全 的 , 则 称 Q, 对 是 安全 的 。 

对 于 由 HRU 定义 的 保护 系统 ,Harrison、Ruzzo 和 Ullman 证 明了 三 个 定理 来 说 明 
安全 问题 的 复杂 性 。Hartison、Ruzzo 和 Ullman 提出 的 安全 问题 是 : 在 一 个 给 定 的 保护 
系统 中 ,一 个 给 定 的 格局 对 某 个 特定 的 权限 是 安全 的 吗 ? 下 面 这 个 问题 被 称 为 HRU 安 
全 问题 。 

定理 HRU1 HRU 安全 问题 是 不 可 判定 的 。 

定理 HRU2 若 保护 系统 中 每 个 命令 只 包含 一 个 原 语 操作 , 则 HRU 安全 问题 是 可 判 
定 的 。 

定理 HRU3 如 果 将 保护 系统 限制 为 没有 create 操作 , 则 HRU 安全 问题 是 PSPACE 
完全 的 。 


3.3.3 BLP 模型 


BLP 模型 是 第 一 个 形式 化 的 多 级 安全 模型 。BLP 模型 在 所 有 的 安全 级 之 间 定 义 了 
一 个 偏 序 , 主 体能 否 访问 客体 由 两 者 的 当前 安全 级 决定 。 在 BLP 模型 中 ,使 用 访问 控制 矩 
阵 对 访问 模式 进行 补充 约束 ,决定 一 个 任意 主体 对 一 个 任意 客体 的 访问 模式 。 表 3. 3 列 出 
了 下 面 讨论 中 所 用 到 主要 元 素 。 表 3.4 列 出 了 BLP 模型 的 安全 公理 (安全 特性 ) 。 
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表 3.3 BLP 模型 主要 元 素 


集合 语 义 集合 请 ”六 
S 主体 集 : 进程 ,正在 执行 的 程序 请 求 集 : 请 求 /释放 访问 ; 授予 /撤销 
O 客体 集 : 数据 ,文件 ,主体 等 访问 ; 请 求 创建 客体 / 重 分 级 等 
A 二 {a、e、r、w}); 访问 属性 集 , 其 中 a: V=BXMXFXH; v=(b.M.f.H)E 
添加 ; r: 读 ; w: 写 ; e: 执行 V 表示 系统 状态 
本 访问 矩阵 : 表示 自主 访问 控制 模式 ， WCRXDXVXV: w=(r.d.v.v) 
M[s,0]SA 主体 * 对 客体 o 的 权限 WwW 表示 在 请 求 "下 ,产生 决策 4, 系 统 从 
H 客体 的 层次 结构 状态 v 转 移 到 vw 
下 是 等 级 函数 (f,、f。、f.) 的 集合 ， 
X={z: T>R}: T 到 R ， 
FF。 | 中 :主体 等 级 本 数 ; 帮 ， 客 体 等 级 | 区。 | 
函数 ; f. 当前 安全 等 级 函数 
Y={y: TD},T 到 D 的 函数 集 ,y 
B BEP (SXOXA): 问 集 合 Y 2 
EP (SXOXA): 当前 访问 集 表示 一 个 决策 序列 
T 正 整 数 集 , 表 示 离 散 时 间 集 合 z Z={z: T>V): TT 到 V 的 函数 集 ,< 
D DD={yes、no、error、?): 决策 集 表示 一 个 状态 序列 
表 3.4 BLP 模型 的 安全 公理 
状态 的 安全 特性 条 件 : 对 于 v=(b5.M、f、H) 和 所 有 (s,0,x)Eb 
简单 安全 特性 : v 是 ss- 安 全 的 今 (1)z+=a 或 =e; (2)zx=r 或 + 二 w 志 
-安全 特性 ff,00) 
ee x -安全 特性 ; v 是 x -安全 的 S(D)z=a>f()<f(0); (2)r=w> f(s) = 
f.(0); (3)z=r= f(s)=f,(0) 
ds- 安 全 特性 自主 安全 特性 : v 是 ds- 安 全 的 车 YE M[s,0] 
; 对 于 SCsww 关 于 S' 是 *- 安 全 的 , 当 sES 时 (1)x=a 坟 f(s) Sf,(0)s 
dni (Dzr=w>f,() Sf, (0; (r=r=f. <f,0) 
对 于 /二 (Ll)EF.v 关 于 1 是 ss- 安 全 的 对 (1)z=a 或 +=e; (2)zx=r 
Sh 或 z=w>4(5)>l,(0) 


在 BLP 模型 中 ,一 个 BLP 系统 》)(R,D,W,zo)CXXYXZ 定 义 如 下 : 
(1) zo 称 为 系统 的 初始 状态 ; 
(2) 每 个 三 元 组 (zx,y,z)E€ 》)(R.D,W ,zo) 称 为 系统 的 表象 ; 


(3) 每 个 四 元 组 (z;,y;,z; ,zi-1) 称 为 系统 的 动作 。 


系统 表象 (x,y,z)E€ 》)(R,D,W ,zo) 满 足 ss- 特 性 的 条 件 是 状态 序列 2 二 (zo ,x1，…) 
中 每 个 状态 都 满足 该 特性 ,系统 满足 ss 特性 的 条 件 是 它 的 每 个 表象 都 满足 ss- 特 性 。 类 


似 地 ,可 以 定义 系统 满足 * -特性 和 ds- 特 性 。 


BLP 系统 的 安全 性 ,有 BLP 的 四 条 安全 定理 来 保证 ,这 四 条 安全 定理 如 下 : 
简单 安全 定理 ” 当 z, 满足 ss 特性 时 , >》)(R,D,W ,zo) 满 足 ss- 特 性 的 充分 必要 条 件 
是 , 即 对 任意 zw= (Ri Di: (CO ,M* ,f*,H* ),(5,M,f, 昌 )),W 满足 以 下 条 件 : 
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(1) 每 个 (s,0,x) E60* 一 50, 满足 (ss, 广 )- 特 性 ; 

(2) 如 果 (s,o,z) E65 但 不 满足 (ss ,f°* )- 特 性 , 则 (s,0,zx) 《6b* 。 

* 安全 定理 ” 设 S'CS, 初 始 状态 z。 满足 (* ,S')- 特 性 ,那么 》)(R,D,W ,zo) 满 足 

(x* ,S')- 特 性 的 充分 必要 条 件 是 对 任意 w= (Ri,D;,(b* MT ,f* ,H*),(b,M,f,H))， 
W 满足 以 下 条 件 : 

(1) 对 每 个 ES ,so,z)E0 一 b 满足 (x* ,S')- 特 性 ; 

(2) 对 每 个 SE S’ ,如 果 (s,o,z) E54 不 满足 (x* ,S')- 特 性 , 则 (s,o0,zx) 0” 。 

自主 安全 定理 ”2》)(R,D,W,z。) 满 足 ds 特性 , 当 且 仅 当 xu 满足 ds- 特 性 , 且 对 于 每 
个 活动 w==(Ri,Di, (5* ,M* ,f*,H*),(5,M,f,HH)),W 满足 : 

(1) 如 果 sES' ,Coyz)E0 一 0, 则 zEM" [s,0]; 

(2) 如 果 5E€S’,(s,0,7)Eb 有 x&M’*[s.0], 则 (s,0,7) $b" 。 

基本 安全 定理 ”》)(R,D,W ,x。) 是 安全 系统 , 当 且 仅 当 zo 是 安全 状态 , 且 W 的 活动 
满足 简单 安全 定理 、* 安全 定理 和 自主 安全 定理 。 


3.3.4 评述 


访问 控制 模型 依据 的 基本 原理 是 : 如 果 在 系统 执行 的 每 一 步 , 系统 中 实体 的 行为 都 
符合 指定 的 规范 , 则 系统 是 安全 的 。 但 HRU 的 结果 表明 , 当 系 统 以 访问 矩阵 作为 访问 控 
制 机 制 时 ,一 个 进程 能 否 取得 对 客体 访问 权 这 一 问题 ,是 不 可 判定 的 。 因 为 HRU 模型 是 
一 类 简单 的 模型 ,并 部 分 将 授权 的 自由 交 给 用 户 , 所 以 ,HRU 的 结果 还 表明 ,安全 必须 以 
牺牲 自由 为 代价 。 

与 HRU 不 可 判定 定理 相关 的 另 一 个 问题 是 所 谓 * 特 洛 伊 木马” 问题 。 因 为 用 户 可 以 
自主 地 将 访问 权 授予 其 他 用 户 , 所 以 客体 的 访问 权 可 能 在 宿主 不 知道 的 情况 下 被 授予 了 
其 他 用 户 。 自 主 访问 控制 不 能 防止 “特洛伊 木马 ”"。 对 “特洛伊 木马 ”问题 的 处 理 , 将 访问 
控制 区 分 为 自主 访问 控制 和 强制 访问 控制 。 强 制 访问 控制 模型 可 以 阻止 使 用 直接 信 
息 通道 的 “特洛伊 木马 ”, 但 不 能 防止 隐蔽 信息 通道 , 即 访问 权限 某 种 特殊 组 合 产生 的 
隐 项 信息 流 。McLean 指出 ,访问 控制 模型 来 自 “ 公 文 世 界 ”, 因 此 ,隐蔽 通道 问题 是 不 
可 避免 的 。 

因为 有 BLP 基本 安全 定理 ,所 以 我 们 相信 BLP 模型 是 安全 的 。 但 McLean 却 指 
出 ,在 证 明 系 统 安全 性 方面 ,BLP 基本 安全 定理 并 没有 任何 作为 。 如 果 系 统 状 态 的 索 
引 支 持 归 纳 证 明 ,那么 不 论 如 何 定义 “安全 状态 ” .类似 的 定理 都 成 立 。 如 此 一 来 ,基本 
安全 定理 证 明 的 只 不 过 是 状态 索引 的 性 质 , 而 非 安全 性 。 为 此 ,MecLean 构造 了 一 个 明 
显 不 安全 的 系统 ,并 在 这 样 的 系统 中 证 明了 基本 安全 定理 。 这 说 明 , 对 于 BLP 这 类 的 
模型 ,安全 是 一 种 平凡 性 质 ,从 数学 上 证 明 是 安全 的 系统 ,不 一 定 表示 实际 系统 也 是 安 
全 的 。 
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3.4 信息 流 模型 


隐蔽 通道 的 概念 ,是 Butler W. Lampson 在 研究 禁闭 问题 时 提出 的 。 因 为 访问 控制 
模型 仅 考虑 主体 对 客体 的 访问 行为 ,而 不 考虑 信息 的 流动 问题 ,所 以 此 类 模型 不 能 检查 信 
息 的 间接 流动 ,因此 也 就 不 能 消除 隐蔽 信息 通道 。 例 如 对 于 if a=0 then b=c 这 样 的 语 
句 , 信 息 流 关系 c->b 是 显 式 的 ,而 a>b 则 是 隐 式 的 ,访问 控制 只 能 检查 到 前 者 。 信 息 流 
模型 可 以 处 理 这 类 间接 的 信息 流动 。 


3.4.1 格 模型 


格 模型 由 Dorothy E,Denning 提出 。 一 个 格 信息 流 模 型 FM 定义 为 
EM= (N,P, SC, 四 ,一 ) 


其 中 ,N={a,0,…} 是 客体 集 , 即 逻辑 存储 对 象 或 信息 储藏 器 的 集合 。N 中 的 元 素 , 根 据 
模型 设计 详细 程度 ,可 以 是 文件 ,也 可 以 是 程序 的 变量 。 系 统 中 的 每 个 用 户 也 可 以 视 为 客 
体 。 P= 二 {p,q,…}) ,是 进程 的 集合 。 进 程 是 引起 信息 流动 的 主动 主体 。SC 二 (A,B,…) 是 
安全 级 的 集合 ,是 信息 的 不 相交 分 类 的 集合 。 定 义 这 一 集合 的 目的 ,是 要 把 “安全 保密 级 
别 “ 保 密 等 级 “ 需 知 权 ” 等 概念 包容 到 信息 流 模型 中 来 。 每 个 客体 a 属于 一 个 安全 级 , 标 
记 为 a, 表 明 存 储 于 a 中 信息 的 安全 等 级 。 有 两 种 把 客体 绑 定 到 安全 级 上 的 方法 ; 静态 
绑 定 和 动态 绑 定 。 对 于 静态 绑 定 ,客体 的 安全 级 别 是 恒定 不 变 的 。 动 态 绑 定时 ,客体 的 安 
全 级 别 可 随 其 内 容 变化 。 用 户 被 静态 地 绑 定 到 称 为 “安全 级 别 ? 的 安全 等 级 上 。 进 程 p 
也 要 绑 定 到 安全 级 上 ,标记 为 p。p 可 能 取决 于 p 的 宿主 用 户 的 安全 等 级 ,或 p 所 访问 过 
的 客体 和 安全 等 级 。 等 级 联合 算 子 @ 是 可 结合 和 可 交换 的 二 元 算 子 。 一 是 一 个 自 反 、 传 
递 和 非 对 称 的 二 元 关系 , 称 为 流 关 系 ,A 一 B 表示 人 允许 从 A 到 B 的 信息 流 。 

模型 的 主要 概念 是 全 有 界 格 。 一 个 全 有 界 格 是 指 这 样 一 种 代数 结构 : 一 个 有 最 小 上 
界 算 子 和 最 大 下 界 算 子 的 有 限 偏 序 集 。 在 下 面 的 假设 之 下 ,(SC, 一 @@) 是 一 个 全 有 界 格 。 

(1) (SC, 一) 是 偏 序 集 。 

(2) SC 是 有 限 集 。 

(3) SC 有 下 界 工 ,上 且 对 所 有 AE SC,L 一 A。 

(4) @@ 是 SC 上 的 最 小 上 界 算 子 。 

在 一 般 系统 中 。 上 述 假设 是 合理 的 。 可 以 证 明 , 上 述 假 设 蕴 含 这 样 一 个 结果 : SC 有 
最 大 下 界 L 和 最 小 上 界 瓦 。 最 小 上 界 算 子 @@ 可 以 扩展 到 子 集 上 。 若 X 是 SC 的 子 集 , 即 
XCSC, 如 果 X=O 则 令 @X= 工 ,否则 令 @X 表示 X 中 所 有 安全 级 的 最 小 上 界 , 即 对 任 
意 n>1 和 X={Ail,…,A,), 令 @X=A1@…@A,。 

因为 (SC, 一 ,@,) 有 最 大 下 界 ,所 以 可 以 引入 最 大 下 界 算 子 @, 它 定义 为 A@B= 
@{C | CA and CB},@ 也 可 扩展 到 集合 上 去 。 如 果 X= 多, 则 @X= 玉 ,否则 , 令 @X 
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表示 X 中 所 有 安全 级 的 最 大 下 界 , 即 对 任意 一 1 和 X= (Bi ,…,B,), 令 QX=BIO…OQB,。 

这 样 ,(SC, 一 ,@,Q) 是 一 个 有 最 小 上 界 和 最 大 下 界 的 全 有 界 格 。 最 小 上 界 算 子 和 
最 大 下 界 算 子 还 有 下 面 的 性 质 : 

(1) A 一 B(U<i<n) 当 且 仅 当 @X 一 B, 或 A1@…@A, 一 B。 意 思 是 说 ,al ,…,a, 客 
体 可 分 别 独立 地 流向 客体 5, 当 且 仅 当 里 a 的 …@a, 环 5, 即 a ,… ,a 的 组 合 所 对 应 的 安全 
级 ,可 以 流向 0。 

(2) A 一 Bi(1 委 i 委 m) , 当 且 仅 当 A 一 Q@X, 或 A 一 B,Q@…QB, ,意思 是 说 ,客体 a 能 够 
流 到 客体 5 ,…,b,, 当 且 仅 当 a 一 by …9b,。 

有 了 以 上 概念 ,就 可 以 定义 什么 是 安全 信息 流 了 : 信息 流 模型 FM 是 安全 的 ,如 果 操 
作 序 列 不 会 产生 违反 “一 ”关系 的 信息 流 。 

使 用 格 模 型 ,我 们 可 以 构造 if C then S1 的 安全 模型 ,更 一 般 地 ,可 以 构造 case C of 
Si1，,…，,S, 的 安全 模型 ,因为 前 者 是 后 者 的 特殊 情形 。 以 C: S1,…,Sn 表示 上 述 语句 。 首 
先 归纳 地 定义 语句 S 的 结构 : 

(1) 赋值 语句 SAb=f(al,…,an) 是 原子 语句 。 其 中 a1,…,an,b 是 客体 (变量 ),f 是 
求 值 函数 。 所 有 原子 语句 都 是 语句 ; 

(2) 如 果 SI 和 Sn 是 语句 , 则 SAS1; S2 也 是 语句 ; 

(3) 如 果 S1,…,Sn 是 语句 ,C 是 变量 , 则 SAC: S1,…,Sn 也 是 语句 。 

每 个 s 都 包含 信息 的 流动 。 令 In(S) 表 示 S 中 信息 流入 的 客体 安全 级 的 集合 ,Out(S) 表 
示 信 息 流出 的 客体 安全 级 的 集合 ,那么 ,归纳 地 定义 ,In(S) 和 Out(S) 定 义 如 下 : 

(1) 如 果 SAb 二 f(al,…,an) 是 赋值 语句 ,那么 S 是 安全 的 , 当 且 仅 当 则 In(S)= 
{b},Out(S)= {al, ,an}; 

(2) 如 果 SAS1,S2, 则 In(S)=In(S1) U In(S2),Out(S)==Out(S1) U Out(S2); 

(3) 如 果 SAC: S1,…,Sn, 则 In(S) 二 URIn(SD ,Out(S) 二 Ur Out(S1) U {C)。 

现在 可 以 定义 语句 S 的 安全 性 如 下 : 语句 S 是 安全 的 , 当 且 仅 当 @Out(S) 一 
@In(S)。 显 然 按照 这 一 关于 语句 S 的 安全 模型 ,语句 if a 二 0 the b= 二 c 是 安全 的 , 当 且 仅 
当 aCc->b。 


3.4.2 无 干扰 模型 


无 干扰 模型 是 Goguen 和 Meseguer 针对 多 级 安全 提出 的 信息 流 安全 模型 ,无 干扰 性 
质 使 用 的 自动 机 模型 称 为 GM 自动 机 ,其 定义 如 下 : 

定义 (NID 一 个 GM 自动 机 M 由 以 下 诸 要 素 构成 : 

(1-1) 集 合 U, 其 中 的 元 素 称 为 "用 户 ”。 

(1-2) 集 合 S, 其 中 的 元 素 称 为 “状态 ”。 它 实际 是 对 用 户 程序 数据 、 消 息 等 信息 的 完 
整 刻画 。 

(1-3) 集 合 C, 表 示 导 致 状态 改变 的 操作 的 集合 ,其 中 的 元 素 称 为 “状态 操作 ”。 

(1-4) 集 合 0, 其 中 的 元 素 称 为 “输出 ”。 一 个 输出 串 实际 上 表示 用 户 所 观察 到 的 一 次 
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系统 行为 。 

(1-5) 集 合 R, 读 操作 的 集合 ,其 中 的 元 素 称 为 “ 读 操 作 ”。 以 及 

(2-1) 函 数 do: SXUXC-~S, 称 为 状态 转移 函数 ,表示 用 户 执行 状态 操作 后 所 发 生 的 
状态 变化 。 

(2-2) 函 数 out: SXUXC>0, 称 为 输出 函数 ,表示 用 户 执 行 读 操作 的 可 见 结果 。 

表 3.5 的 左边 列 出 了 GM 状态 自动 机 的 基本 元 素 ,右边 列 出 了 状态 自动 机 的 状态 转 
移 函 数 与 输出 函数 。 对 于 从 初始 状态 s0 出 发 ,经 历 操作 序列 wE (UXC)' 后 ,所 达到 的 
状态 , Goguen 和 Meseguer 使 用 了 一 个 简单 记号 w 卫 , 即 了 w] 了 [= 二 do'(s0,ww)。 因 此 ， 
Out(IwI,v,r) 表 示 用 户 v 在 状态 s== [w 了 二 do'(s0,ww) 执 行 读 r 的 结果 。 


表 3.5 GM 自动 机 的 基本 元 素 及 动作 函数 


基本 元 素 操 作 
U: 用 户 集合 zu 一 (ycl)…(uycv)E(UXC) :系统 经 历 的 状态 操作 序列 。empty 表 
GSU: 用 户 组 示 空 序列 。w 二 wwwz 表示 两 个 序列 的 连接 
G'SU: 用 户 组 
CC: 状态 操作 集 do:SXUXC-~S: 状 态 转移 函数 。 


“ACC 状态 操作 子 策 | dolswusc) 二 s :用户 在 状态 s 下 执行 状态 操作 c ,系统 转移 到 状态 Y 


RR: 读 操作 集 do :SX (UXC)” 一 S: 广 义 状态 转移 函数 。 

BCR: 读 操作 子 集 do'(s,empty)=sdo (sw (usc))=do(do (ssw), (usc)) 

S: 系 统 状态 集合 out:SXUXR0: 输 出 函数 。 

sES: 初 始 状态 out(syuvr) 一 0: 用 户 x 在 状态 * 下 执行 读 操 作 ~, 并 将 结果 o 输出 


对 于 操作 序列 ww, 我 们 定义 w 上 的 过 滤 函 数 PG ,A(ze) 为 从 z 中 删除 wxEG 且 cEA 
的 序 对 (x,c) 所 得 到 的 子 序列 , 即 : 

当 wEG 并 且 cEA 时 ,PG,A((w,c)w)==PG(w)。 

当 w&G 或 者 cA 时 ,PG,A((wusc)w) = 二 (usc) PG,A(w)。 且 分 别 在 A=C 或 
G=0 或 G6={w),A=C 时 ,我 们 将 PG,A 分 别 简 记 成 PG ,PA,Pm。 

我 们 可 以 这 样 的 观点 来 考察 GM 自动 机 : 系统 中 有 两 个 我 们 感 兴趣 的 用 户 组 G 和 
G', 其 中 G 在 系统 中 执行 状态 操作 子 集 A 中 操作 行为 ,G' 希 望 观察 G 在 系统 中 的 行为 , 即 
G 执行 了 哪些 状态 操作 。G’ 所 能 使 用 的 方法 是 执行 读 操作 子 集 B 中 的 读 操作 ,然后 输出 
结果 。 我 们 称 G 在 A 上 的 操作 G 对 B 上 观察 无 干扰 ,如 果 无 论 G 执行 什么 样 的 操作 ,G” 
所 观察 到 的 结果 都 是 一 样 的 ,就 像 G 从 来 没有 执行 过 任何 A 中 的 状态 操作 。 形 式 地 ,无 
干扰 性 质 定 义 如 下 : 

定义 (NI2) 执行 状态 转移 命令 子 集 A 的 用 户 组 G ,对 另 一 个 执行 输出 命令 子 集 B 的 
用 户 组 G' 无 干扰 , 记 为 : 

G,A: |G',B 
其 表达 式 为 : 对 任意 wE (UXC)’,v€G' ,rE€EB 


out( [wll,v,r)= out( PG,A (w) I ,v,r) 


其 中 P 卫 是 过 滤 函 数 。 
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根据 上 述 定 义 ,我 们 可 以 构造 多 级 安全 (MLS) 系统 。 设 L 是 安全 等 级 的 有 序 集 ,并 
设 函 数 

level: U>L 

定义 用 户 的 安全 等 级 。 那 么 一 个 MLS 系统 是 满足 以 下 (MLND) 性 质 的 系统 : 


(MLNI)out( [wl ,v,r)AA out( [PG,A (w) I ,v,r)=> 
level(u)<level(v) 


意思 是 说 ,只 要 u 的 安全 级 比 v 高 , 则 u 对 v 无 干扰 。 
3.4.3 评述 


不 论 是 Denning 的 格 模型 ,还 是 Goguen 和 Meseguer 的 无 干扰 模型 ,都 使 用 了 纯 数 
学 概念 ,因此 ,可 以 说 信息 流 模型 在 形式 化 方面 迈 出 了 重要 一 步 。 对 于 无 干扰 模型 ,隐蔽 
通道 实际 上 已 经 对 低 安全 级 用 户 的 观察 造成 了 影响 ,因此 将 被 (MLN 了 DD) 禁止 。 

无 干扰 模型 对 于 定义 什么 是 安全 来 说 更 为 本 质 , 它 将 安全 问题 与 计算 机 科学 中 的 另 
一 个 中 心间 题 , 即 系统 行为 的 等 价 性 联系 到 一 起 。 安 全 问题 实质 上 与 系统 行为 的 等 价 问 
题 是 一 致 的 ,而 后 者 可 以 使 用 纯 数学 的 方法 描述 。 所 谓 两 个 系统 的 行为 等 价 , 是 指 这 两 个 
系统 的 行为 对 观察 者 来 说 是 一 样 的 。 对 于 确定 性 的 系统 ,定义 等 价 性 是 很 简单 的 ,如 
Goguen 和 Mesaguer 所 考察 的 系统 。 对 于 非 确 定性 系统 ,目前 不 存在 一 致 公认 的 等 价 性 
定义 ,因此 ,也 就 不 存在 一 致 公认 的 无 干扰 性 定义 。 

访问 控制 是 比较 成 熟 的 系统 安全 技术 ,但 是 ,从 访问 控制 的 角度 寻找 一 种 安全 访问 控 
制 策略 ,并 保证 系统 中 不 存在 信息 泄露 , 却 不 是 一 件 易 事 。 访 问 控制 模型 所 要 面 对 的 主要 
问题 是 如 何 防止 “特洛伊 木马 ”。C2 级 操作 系统 如 UNIX 和 Windows NT, 都 以 自主 访问 
控制 作为 TCB 主要 安全 机 制 , 因 而 不 能 防止 内 部 攻击 。 如 UNIX 的 文件 管理 系统 允许 
用 户 决 定 文件 的 访问 权 , 这 几乎 可 以 肯定 要 导致 系统 的 安全 漏洞 .假如 某 个 用 户 A 执行 
了 一 个 能 修改 其 文件 访问 权限 的 “特洛伊 木马 ”程序 ,就 可 能 将 A 的 文件 的 访问 权限 授予 
任意 用 户 。 

对 于 强制 访问 控制 ,同样 的 “特洛伊 木马 ”将 被 禁止 ,因为 在 MAC 模型 中 ,规则 是 由 
系统 强制 实施 的 。 按 照 BLP 模型 ,“ 特 洛 伊 木马 ”程序 不 能 将 高 安全 级 的 信息 泄露 到 低 安 
全 级 用 户 ,因为 它 违反 “禁止 向 上 读 ” 或 “禁止 向 下 写 ” 原 则 。 但 如 果 “ 特 洛 伊 木马 ”利用 系 
统 的 功能 间接 地 传递 秘密 信息 , 则 MAC 不 能 阻止 这 种 信息 泄露 。 例 如 两 个 不 同安 全 级 
的 进程 共享 一 块 有 限 大 小 的 存储 资源 . 这 块 存储 资源 既 可 能 构成 一 个 隐蔽 存储 通道 ,也 可 
能 构成 一 个 隐 项 时 间 通 道 。 因 此 ,TCSEC 要 求 ,B2 级 以 上 安全 的 操作 系统 必须 有 隐蔽 通 
道 分 析 。 

访问 控制 模型 ,特别 是 BLP 模型 ,是 一 类 最 实用 的 安全 模型 。 但 随 着 信息 处 理 系统 
越 来 越 复杂 ,不 论 军事 部 门 还 是 商业 部 门 , 都 需要 更 加 灵活 的 安全 策略 ,需要 更 加 细致 地 
划分 控制 粒度 ,需要 更 加 灵敏 的 信息 流 控制 ; 而 新 的 软件 范 型 ,如 面向 对 象 、 超 文本 、 虚 拟 


36 | 计算 机 安全 


机 \ 移 动 代码 ,智能 主体 等 却 引入 了 大 粒度 的 实体 ; 还 有 一 些 更 加 复杂 的 环境 很 难 区 分 可 
以 独立 分 级 标记 的 实体 。 因 此 ,模仿 “公文 世界 ”的 访问 控制 模型 已 经 不 能 适应 新 的 安全 
需求 。 现 在 已 经 明确 ,安全 问题 可 归结 为 信息 流 的 无 干扰 性 质 , 而 无 干扰 性 质 又 可 归结 为 
系统 的 等 价 性 问题 ,后 者 是 计算 机 科学 中 的 中 心 问题 之 一 。 


习题 


1. 访问 控制 有 哪 几 类 ? 其 工作 原理 是 什么 ? 

2. 试 述 隔离 法 、 访 问 控制 矩阵 法 和 钥 - 锁 方 控制 法 的 区 别 。 

3. 安全 模型 的 类 型 有 哪些 ? 请 分 别 作 简单 的 解释 。 

4. 降低 密级 违反 了 BLP 模型 中 的 * -属性 。 提 升 客体 的 密级 是 否 会 违反 该 模型 的 任 
何 一 项 属性 ? 为 什么 ? 


在 现实 世界 中 ,安全 是 一 个 相当 简单 的 概念 。 例 如 ,房子 门窗 上 要 安装 足够 坚固 的 
锁 ,以 阻止 窃贼 的 问 入 ; 安装 报警 器 是 阻止 人 侵 者 破门 而 入 的 进一步 措施 ; 当 有 人 想 从 
他 人 的 银行 账户 上 骗取 钱 款 时 ,出 纳 员 要 求 其 出 示 相 关 身 份 证 明 也 是 为 了 保证 存款 安全 ; 
签署 商业 合同 时 ,需要 双方 在 合同 上 签名 以 产生 法 律 效力 也 是 保证 合同 的 实施 安全 。 

在 计算 机 被 广泛 应 用 的 今天 ,由 于 计算 机 网 络 技术 的 迅速 发 展 , 大 量 信息 以 数字 形式 
存放 在 计算 机 系统 里 ,信息 的 传输 则 通过 公共 信道 。 这 些 计算 机 系统 和 公共 信道 在 不 设 
防 的 情况 下 是 很 脆弱 的 ,容易 受到 攻击 和 破坏 ,信息 的 失窃 不 容易 被 发 现 ,而 后 果 可 能 是 
极其 严重 的 。 

密码 技术 是 实现 信息 安全 的 核心 技术 ,是 保护 数据 最 重要 的 工具 之 一 。 通 过 加 密 变换 ， 
将 可 读 的 文件 变换 成 不 可 理解 的 乱码 ,从 而 起 到 保护 信息 和 数据 的 作用 。 我 们 在 讨论 密码 
技术 及 其 理论 时 ,有 三 个 专业 术语 的 需要 首先 分 清楚 ,它们 是 密码 学 (cryptology) 、 密 码 编码 
学 (cryptography) 和 密码 分 析 学 (cryptanalysis)。 其 中 ,密码 编码 学 是 指 用 各 种 不 同 的 加 密 
算法 对 信息 进行 加 密 ; 密码 分 析 学 则 反之 , 它 是 指 如 何 对 密码 进行 分 析 、 破 解 和 攻击 ; 而 
密码 学 作为 数学 的 一 个 分 支 , 它 是 一 个 比较 综合 的 概念 ,涵盖 了 密码 编码 学 和 密码 分 析 
学 。 精 于 此 道 的 人 称 为 密码 学 家 (cryptologist) ,现代 的 密码 学 家 通常 也 是 理论 数学 家 。 


4.1 安全 的 通信 


我 们 首先 看 一 个 简单 的 例子 ,一 对 通信 伙伴 Alice 和 Bob 要 进行 通信 ,在 没有 任何 防 
护 的 情况 下 ,第 三 方 Eve 可 以 两 种 不 同 的 方式 对 他 们 的 通信 进行 攻击 。 

被 动 攻击 : Eve 通过 各 种 办 法 ,如 搭 线 窍 听 、 电 磁 窃 听 \ 声 音 窃 听 、 非 法 访问 等 ,非法 
截 收 通 信 渠 道中 的 信息 。 

主动 攻击 : Eve 对 通信 渠道 中 的 信息 进行 非法 自 改 ,如 删除 .增添 . 重 放 、 伪 造 等 。 

相应 地 ,密码 技术 也 分 为 两 个 部 分 : 第 一 部 分 是 信息 保密 ,用 来 抵抗 被 动 攻击 ; 第 二 
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部 分 是 信息 认证 ,用 来 抵抗 主动 攻击 。 信 息 认证 的 功能 是 对 信息 的 认证 、 对 发 送信 息 者 身 
份 的 认证 和 对 接收 信息 者 身份 的 认证 ,使 得 对 信息 的 自 改 会 被 立即 发 现 。 

因此 ,Alice 和 Bob 如 果 要 通过 不 安全 的 公共 信道 进行 通信 ,还 要 保证 通信 的 安全 ， 
可 能 会 采用 的 通信 方案 如 图 4.1 所 示 。 


算法 协商 


明文 密 文 明文 


Alice | 加 密 了 一 | 解密 一 | Bob 


Eve 


4.1 含 加 密 和 解密 过 程 的 通信 方案 


当 Alice 要 借助 于 通信 渠道 传递 一 个 消息 ( 即 明 文 plaintext) 给 Bob 时 ,她 需要 通过 
其 他 渠道 事先 与 Bob 约定 好 加 密 算法 ,然后 使 用 该 加 密 算法 加 密 要 传递 的 消息 ,加 密 后 
的 结果 称 为 密 文 (ciphertext)。 密 文 在 通过 通信 渠道 到 达 Bob 后 ,Bob 需要 使 用 相应 的 方 
法 ( 即 解 密 算法 ) 解 密 传 来 的 密 文 ,恢复 Alice 要 传递 的 消息 。 


4.1.1 受 限 制 的 算法 


如 果 通 信 的 安全 要 基于 加 密 算法 的 保密 性 ,那么 这 种 算法 称 为 受 限制 的 算法 。 

受 限制 的 算法 的 特点 表现 为 : 

(1) 密码 分 析 时 因为 不 知道 算法 本 身 , 还 需要 对 算法 进行 恢复 ; 

(2) 处 于 保密 状态 的 算法 只 为 少量 的 用 户 知道 ,产生 破译 动机 的 用 户 也 就 更 少 ; 

(3) 不 了 解 算法 的 人 或 组 织 不 可 用 。 

受 限制 的 算法 具有 历史 意义 ,但 是 按照 现在 的 安全 标准 ,它们 的 保密 性 已 远 远 不 够 。 
尤其 是 对 于 那些 大 的 组 织 ,如 果 其 中 的 一 个 用 户 离开 该 组 织 , 则 该 组 织 的 其 他 用 户 就 必须 
改换 另外 不 同 的 算法 。 

更 糟 的 是 , 受 限制 的 密码 算法 不 可 能 进行 质量 控制 或 标准 化 ,每 个 用 户 组 织 必须 有 他 
们 自己 的 唯一 算法 。 这 样 的 组 织 不 可 能 采用 流行 的 硬件 或 软件 产品 ,因为 窍 听 者 可 以 买 
到 这 些 流 行 产 品 并 学 习 算 法 ,于 是 用 户 不 得 不 自己 编写 算法 并 予以 实现 。 如 果 这 个 组 织 
中 没有 好 的 密码 学 家 ,那么 他 们 就 无 法 知道 是 否 拥 有 安全 的 算法 。 

尽管 有 这 些 主 要 缺陷 , 受 限制 的 算法 对 低 密级 的 应 用 (用 户 或 者 没有 认识 到 ,或 者 不 
在 乎 他 们 系统 中 存在 的 问题 ) 来 说 ,还 是 很 流行 的 。 


4.1.2 密 钥 


从 商用 的 角度 出 发 ,要 求 加 密 和 解密 算法 应 该 是 公共 的 标准 算法 ,是 公开 的 。 因 此 ， 
包括 攻击 者 Eve 在 内 的 所 有 人 都 知道 加 密 和 解密 算法 。 这 就 要 求 安 全 性 应 不 依赖 于 加 
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密 和 解密 算法 是 否 保密 ,现代 密码 学 用 密 钥 解 决 了 受 限 制 算法 的 问题 ,从 而 使 安全 性 仅仅 
依赖 于 密 钥 是 否 保 密 。 
此 时 Alice 和 Bob 二 人 的 通信 ,将 采取 的 通信 方案 如 图 4.2 所 示 。 
密 钥 协 商 


加 密 密 钥 解密 密 角 


y 密 文 | 
Alice > 加 密 一 | 解密 六 | 


Bob 


Eve 


图 4.2 现代 密码 学 的 基本 通信 方案 


此 时 ,所 有 这 些 算法 的 安全 性 都 基于 密 钥 的 安全 性 ,而 不 是 基于 算法 细节 的 安全 性 。 
这 就 意味 着 算法 可 以 公开 ,也 可 以 被 分 析 , 可 以 大 量 生 产 使 用 算法 的 产品 。 即 使 窃听 者 
Eve 知道 算法 也 没有 关系 ,如 果 她 不 知道 Alice 和 Bob 所 使 用 的 具体 密 钥 ,她 就 不 可 能 阅 
读 二 者 的 消息 。 

算法 公开 的 优点 包括 : 

(1) 它 是 评估 算法 安全 性 的 唯一 可 用 的 方式 ; 

(2) 防止 算法 设计 者 在 算法 中 隐藏 后 门 ; 

(3) 可 以 获得 大 量 的 实现 ,最 终 可 走向 低 成 本 和 高 性 能 的 实现 

(4) 有 助 于 软件 实现 ; 

(5) 可 以 成 为 国内 、 国 际 标准 ; 

(6) 可 以 大 量 生产 使 用 该 算法 的 产品 。 

这 些 正 是 基于 1883 年 Kerchoffs 所 提出 的 、 后 来 被 广泛 接受 的 Kerchoffs 原理 : 加 密 
解密 算法 的 知识 、 密 钥 的 长 短 和 明文 的 获取 是 现代 密码 分 析 学 的 标准 假设 ,由 于 攻击 者 最 
终 也 有 可 能 获取 这 些 信 息 ,在 评价 密码 体制 的 强度 上 ,我 们 最 好 不 要 依赖 于 它们 的 保密 性 。 

现代 的 密码 体制 正 是 由 算法 以 及 所 有 可 能 的 明文 、 密 文 和 密 钥 组 成 。 如 果 每 一 次 加 
密 解密 过 程 都 要 选择 一 次 加 密 解 密 密 钥 , 则 加 密 解密 方式 称 为 一 次 一 密 的 。 一 次 一 密 的 
加 密 解密 方式 通常 具有 很 好 的 安全 性 ,但 是 需要 频繁 地 更 换 密 钥 ,每 次 通信 之 前 都 需要 通 
信 伙 伴 之 间 进 行 协 商 来 确定 新 的 密 钥 ,因而 一 次 一 密 的 加 密 解 密 方式 是 不 实用 的 。 

如 果 加 密 解 密 密 钥 在 多 次 加 密 解密 过 程 中 反复 地 重复 使 用 , 则 加 密 解密 方式 称 为 多 
次 一 密 的 。 现 有 的 实用 加 密 解 密 方式 都 是 多 次 一 密 的 。 多 次 一 密 的 加 解密 方式 极 大 地 省 
却 了 通信 伙伴 的 工作 量 。 

从 原理 上 ,加 密 和 解密 的 方法 分 为 两 类 , 即 对 称 密 钥 (symmetric key) 和 非 对 称 密 钥 
(asymmetric key) 。 

在 对 称 密 钥 体 制 中 ,Alice 和 Bob 双方 均 知道 加 密 和 解密 密 钥 ,而 且 在 很 多 情况 下 ， 
加 密 密 钥 和 解密 密 钥 是 相同 的 ,因此 对 称 密 钥 体制 有 时 也 称 为 单 钥 密码 体制 , Alice 和 
Bob 都 必须 保证 该 密 钥 的 保密 性 。 古 典 的 加 密 体制 (1970 年 以 前 ) 以 及 数据 加 密 标准 
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(DES) 和 高 级 加 密 标 准 Rijndael(AES) 都 是 基于 对 称 密 钥 的 。 

在 非 对称 密 钥 体制 中 , 密 钥 分 成 公开 密 钥 (public key) 和 私有 密 钥 (private key) 两 部 
分 ,简称 公 钥 和 私 钥 ,Alice 和 Bob 拥有 各 自 的 公 钥 和 私 钥 , 因 此 非 对 称 密 钥 体制 有 时 也 
称 为 双 钥 密码 体制 。 由 于 Bob 的 公 钥 是 公开 的 ,Alice 可 以 使 用 它 来 加 密 给 Bob 的 消息 ， 
只 有 Bob 拥有 用 来 解密 的 私 钥 ,而 其 他 人 则 几乎 不 可 能 通过 计算 来 发 现 解密 密 钥 。 最 流 
行 的 这 类 密码 体制 是 RSA 密码 体制 。 


4.1.3 密码 分 析 


密码 分 析 是 在 不 知道 密 钥 的 情况 下 恢复 出 明文 。 密 码 设计 和 密码 分 析 是 一 对 互 逆 的 
过 程 ,两 者 密切 相关 ,但 解决 问题 的 途径 有 很 大 差别 。 密 码 设 计 是 利用 数学 来 构造 密码 ; 
密码 分 析 除 了 依靠 数学 .工程 背景 .语言 学 等 知识 外 ,还 要 靠 经 验 、 统 计 、 测 试 . 眼 力 \ 直 觉 
判断 能 力 , 有 时 还 靠 点 运气 。 

一 种 称 为 穷 举 搜索 的 密码 分 析 , 是 指 对 截获 的 密 文 依次 用 各 种 可 能 的 密 钥 试 译 ,直到 
得 到 有 意义 的 明文 。 各 种 可 能 的 密 钥 的 总 数 称 为 密 钥 量 。 显 而 易 见 ,只 要 有 足够 多 的 计 
算 时 间 和 存储 容量 ,原则 上 穷 举 搜索 总 是 可 以 成 功 的 。 因 此 ,任何 一 种 实用 密码 的 密 钥 量 
都 要 远 远大 于 攻击 者 所 能 承受 的 计算 时 间 和 存储 容量 。 

如 果 对 密码 体制 的 任何 攻击 ,都 不 优 于 (对 明文 ) 完 全 盲目 的 猜测 ,这 样 的 密码 体制 就 
称 为 无 条 件 安全 的 。 在 实际 应 用 中 ,我 们 更 多 追求 的 是 一 种 所 谓 的 计算 安全 。 对 于 计算 
安全 ,我 们 可 以 按 级 别 给 出 以 下 定义 : 

对 密码 体制 的 任何 攻击 ,虽然 可 能 优 于 完全 盲目 的 猜测 ,但 超出 了 攻击 者 的 计算 能 
力 。 这 是 最 高 级 别 的 计算 安全 。 

对 密码 体制 的 任何 攻击 ,虽然 可 能 没有 超出 攻击 者 的 计算 能 力 , 但 所 付出 的 代价 远 远 
大 于 破译 成 功 所 得 到 的 利益 。 这 是 第 二 级 别 的 计算 安全 。 

对 密码 体制 的 任何 攻击 ,虽然 可 能 没有 超出 攻击 者 的 计算 能 力 ,但 破译 成 功 所 需要 的 
时 间 远 远大 于 明文 本 身 的 有 效 期 限 。 这 是 另 一 种 形式 的 第 二 级 别 的 计算 安全 。 

当前 大 多 数 成 功 的 密码 ,是 基于 计算 安全 的 基础 之 上 的 。 
因此 ,对 于 密码 分 析 而 言 ,要 求 成 功 的 密码 分 析 不 仅 能 恢复 出 消息 的 明文 或 密 钥 ,也 
可 以 发 现 密码 体制 的 弱点 。 

如 果 被 动 攻击 者 Eve 完全 能 够 截获 收发 者 Alice 和 Bob 之 间 的 密 文 传递 ,她 希望 试 
图 获取 二 人 通信 的 明文 信息 ,并且 她 知道 二 人 通信 和 所 使 用 的 加 密 算法 和 解密 算法 ,但 不 知 
道 加 密 密 钥 和 解密 密 钥 ,她 可 能 会 采取 以 下 四 种 手段 发 起 攻击 。 

(1) 唯 密 文 攻击 (ciphertext-only attack) 

Eve 有 一 些 消息 的 密 文 ,这 些 消息 都 用 同一 加 密 算法 加 密 。Eve 试图 根据 已 有 和 密 文 
推测 恢复 出 尽 可 能 多 的 明文 ,或 者 最 好 是 能 推算 出 加 密 消息 的 密 钥 来 ,以 便利 用 该 密 钥 解 
出 其 他 被 加 密 的 消息 。 

(2) 已 知 明 文 攻击 (known-plaintext attack) 

Eve 不 仅 可 得 到 一 些 消息 的 密 文 ,而 且 也 知道 这 些 消息 的 明文 ,只 是 不 知道 加 密 和 解 
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密 的 密 钥 。Eve 的 任务 就 是 用 加 密 信息 推出 用 来 加 密 的 密 钥 ,从 而 可 以 像 Alice 一 样 对 任 
何 明文 进行 加 密 , 以 便 发 起 主动 攻击 ; 或 者 Eve 计算 出 了 解密 密 钥 ,从 而 可 以 像 Bob 一 样 
对 用 同一 密 钥 加 密 的 任何 新 的 消息 进行 解密 。 

比如 ,Eve 中 途 截获 了 加 密 后 的 密 文 ,第 二 天 又 获得 了 (通过 其 他 方式 ,比如 贿赂 
Alice 或 Bob 的 朋友 ) 经 解密 的 明文 。 又 如 ,Alice 给 Bob 的 通信 总 是 以 “dear Bob” 开 头 ， 
那么 Eve 即使 只 获得 了 一 小 部 分 密 文 及 其 相应 的 明文 ,对 于 大 多 数 较 弱 的 密码 体制 ,这 
些 信 息 也 足以 用 来 破译 密码 ,甚至 对 功能 稍 强 的 密码 体制 ,这 些 信息 也 足以 破译 密码 了 。 

(3) 选择 明文 攻击 (chosen-plaintext attack) 

Eve 不 仅 可 得 到 一 些 消息 的 密 文 和 相应 的 明文 ,而 且 她 也 可 选择 特定 的 明文 去 加 密 ， 
这 些 明文 可 能 产生 更 多 的 关于 密 钥 的 信息 。Eve 的 任务 是 推出 用 来 加 密 信息 的 密 钥 ; 或 
者 导出 一 个 算法 ,该 算法 可 以 对 用 同一 密 钥 加 密 的 任何 新 的 消息 进行 解密 。 

比如 ,Eve 临时 获取 了 加 密 的 机 器 ,虽然 她 不 能 打开 它 获 取 密 钥 , 但 可 以 通过 大 量 经 
过 挑选 的 明文 ,去 试 着 利用 其 产生 的 密 文 来 推测 密 钥 。 

(4) 选择 密 文 攻击 (chosen-ciphertext attack) 

Eve 能 选择 不 同 的 被 加 密 的 密 文 ,并 可 得 到 对 应 的 解密 的 明文 。Eve 的 任务 就 是 推 
出 密 钥 。 

比如 ,Eve 临时 获得 了 用 来 解密 的 机 器 ,利用 它 去 “解密 ”一 些 经 过 挑选 的 密 文 ,以 尽 
可 能 地 利用 结果 推测 出 密 钥 。 

除了 上 述 四 种 攻击 手段 ,一 些 文献 中 还 提 到 了 诸如 自 适 应 选择 明文 攻击 等 其 他 一 些 
密码 分 析 攻 击 手段 ,在 此 不 再 袭 述 , 感 兴趣 的 读者 可 查阅 有 关 文献 。 

已 知 明 文 攻 击 和 选择 明文 攻击 还 是 很 容易 做 到 的 。 在 日 常生 活 中 ,我 们 也 常 听 说 , 某 
国 的 密码 分 析 者 通过 贿赂 得 到 加 密 的 明文 消息 ,或 者 他 们 捕获 和 分 析 了 加 密 和 解密 设备 ， 
这 些 都 不 足 为 怪 。 

很 明显 , 唯 密 文 攻击 是 最 困难 的 ,因为 分 析 者 可 供 利用 的 信息 最 少 。 上 述 攻 击 的 强度 
是 递增 的 。 一 个 密码 体制 是 安全 的 ,通常 是 指 在 前 三 种 攻击 下 的 安全 性 , 即 攻击 者 一 般 容 
易 具备 进行 前 三 种 攻击 的 条 件 。 

所 以 ,密码 体制 的 强度 若 依赖 于 攻击 者 不 知道 算法 的 内 部 机 理 , 那 该 体制 注定 会 失 
败 。 如 果 相 信保 持 算法 的 内 部 秘密 比 让 研究 团体 公开 分 析 它 更 能 改进 密码 体制 的 安全 
性 , 那 更 是 大 错 特 错 。 最 好 的 算法 是 那些 已 经 公开 的 ,并 经 过 世界 上 最 好 的 密码 分 析 家 们 
多 年 的 攻击 ,但 还 是 不 能 破译 的 算法 。 好 的 密码 分 析 家 总 会 坚持 审查 ,以 图 把 不 好 的 算法 
从 好 的 算法 中 剔除 出 去 。 


4.2 古典 密码 体制 


为 理解 受 限制 算法 的 局 限 性 ,我 们 将 介绍 一 些 在 计算 机 发 明 以 前 常 使 用 的 一 些 经 典 
的 密码 体制 。 尽 管 从 现在 看 来 ,特别 是 用 计算 机 来 处 理 时 ,这 些 密 码 体制 相当 脆弱 ,以 至 
于 如 今 已 基本 不 再 使 用 。 但 是 讨论 这 些 弱 密码 ,研究 它们 的 细节 ,让 我 们 认 清 它们 的 弱 
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点 , 才 可 以 在 未 来 的 工作 中 有 效 避 开 , 也 可 以 在 一 定 程度 上 帮助 我 们 理解 为 什么 密码 
会 失效 。 如 果 我 们 只 看 到 那些 不 可 攻击 的 密码 ,那么 对 于 密码 如 何 失效 就 不 得 而 
知 了 。 

在 本 章 后 面 的 描述 中 ,我 们 约定 ,所 有 消息 均 用 英文 表示 ,明文 将 用 小 写字 母 书写 , 密 
文 则 用 大 写字 母 书写 ,使 用 英文 字母 与 集合 {0,1,2,… ,25) 中 元 素 如 表 4. 1 的 对 应 关系 ， 
并 且 通 常 我 们 会 认为 英文 字母 与 相应 整数 是 等 同 的 ,此 外 ,忽略 空格 和 标点 符号 。 加 密 过 
程 的 加 密 变 换 函 数 用 下 (z) 表 示 ,解密 过 程 的 解密 变换 函数 用 D(z) 表 示 。 

表 4.1 英文 字母 与 集合 (0,1,2,… ,25) 中 元 素 的 对 应 关系 
aA b,B csC d,D eE f,F g’G | h,H i,I j,J k,K lL |m,M 
0 1 2 3 4 5 6 7 8 9 10 11 玉 
nN oO p,P q'Q rn,R ssS tT uwU VrV | wW | x,X yy 了 vsZ 
13 14 15 16 17 18 19 20 21 22 23 24 ”5 


4.2.1 移 位 密码 


移 位 密码 是 最 简单 的 一 种 密码 ,因为 这 种 密码 有 时 也 称 为 Caesar 密码 ,所 以 其 创始 
人 至 少 可 以 追溯 到 Julius Caesar( 即 古 罗 马 统帅 恺 撤 )。 在 使 用 Caesar 密码 时 ,为 了 给 消 
息 加 密 , 消 息 中 每 个 字母 均 被 后 移 3 位 ,字母 表 的 最 后 3 个 字母 又 转 到 开始 , 换 句 话说 , 移 
位 密码 实现 了 26 个 英文 字母 的 循环 移 位 ,其 加 密 效果 如 表 4.2 所 示 。 
表 4.2 Caesar 密码 


加 密 前 a b c d e f g h i j k 1 m 
加 密 后 D E F G H I 各 K L M N O 
加 密 前 n o p q kk s 二 u v w x z 
加 密 后 Q R S 村 U V Ww XxX 区 加 A B eC 
加 密 变换 函数 为 
E(x)=(z+3)mod 26, 0<zx<26 
相应 地 ,解密 变换 函数 为 


D(x)=(zx—3)mod 26, 0<zx<26 
按照 上 述 Caesar 密码 的 加 密 规 则 ,假设 明文 为 
caesar cipher is a shift substitution 
将 得 到 密 文 为 
FDHVDU FLSKHU LV D VKLIW VXEVWLWXWLRQ 
这 样 ,如 果 消 息 被 截获 ,对 于 大 多 数 人 来 讲 , 看 到 这 样 不 能 读 、 正 常人 也 不 会 这 样 写 
句子 ,这 种 加 密 还 是 能 起 到 保密 作用 的 。 而 对 于 接受 方 ,解密 是 加 密 的 逆 过 程 ,具体 过 程 
就 是 将 字母 向 前 移 3 位 即 可 。 一 般 地 ,对 于 非特 定 的 字母 表 , 移 位 密码 的 加 密 和 解密 过 程 


都 是 循环 移 位 运算 ,加 密 变 换 函 数 为 
Ei(z)=(z+k)modg, 0<zr<g 
其 中 心 为 密 钥 ,0 一 A<q。 
解密 变换 函数 为 
Di(x)=(z — k)modg, 0<zr<g 
但 是 如 果 加 密 解 密 算法 已 知 ,由 上 可 知 , 移 位 密码 的 密 钥 只 有 g 一 1 种 情况 , 密 钥 空间 
很 小 ,因而 移 位 密码 很 容易 通过 强力 攻击 得 到 破解 后 的 明文 , 即 移 位 密码 很 容易 受到 唯 密 
文 攻击 。 尤 其 是 当 密 文中 如 果 有 一 个 字母 相应 的 明文 已 知 , 则 密 钥 即 可 确定 ,所 以 移 位 密 
码 根本 不 能 抵抗 已 知 明文 攻击 。 


4.2.2 乘 数 密码 


乘 数 密码 又 称 为 采样 密码 。 因 为 密 文字 母 表 是 将 明文 字母 表 每 & 位 取出 一 个 字母 排列 

而 成 字母 表 , 如 果 已 取 到 明文 字母 表 结 尾 , 则 重新 从 头 取 , 即 乘 数 密码 的 加 密 变 换 函 数 为 
E(x)=kx modg, 0<zx<g 

其 中 ,为 密 钥 ,0 入 4<d。 

但 是 加 密 变 换 函 数 是 否 是 一 一 对 应 呢 ? 毕竟 只 有 一 一 对 应 ,才能 保证 由 密 文 恢复 出 
明文 。 

假设 明文 字母 表 长 为 g, 由 数论 知识 , 仅 当 上 与 g 互 素 时 ,明文 字母 与 密 文 字母 才 是 
一 一 对 应 的 。 因 为 ,利用 数论 中 求 最 大 公 因 子 的 欧 几 里 得 算法 ,对 任意 整数 kg, 可 求 得 k 
和 g 的 最 大 公 因 子 d ,同时 可 得 到 两 个 整数 m 入, 使 得 mk 十 ng 一 d。 只 有 当 上 与 g 互 素 
时 , 才 会 有 mk 十 ng 二 1, 即 ,mk mod g 二 1, 此 时 , 称 mm 为 k 模 g 的 乘法 递 元 ,并 记 m= 二 k&7!; 
而 车 与 q 不 互 素 , 则 不 会 有 mk mod gq 二 1, 即 不 存在 k 的 乘法 逆 元 &A 一 ,因而 也 就 无 法 由 
密 文 恢复 出 明文 。 

因此 ,解密 变换 函数 为 

Di(x)=k-! x modg, 0<zr<gq 

按照 上 述 变换 规则 ,采用 英文 字母 表 作 为 明文 字母 表 , 则 g 二 26, 如 果 k==9, 则 g 与 k 
互 素 ,加 密 变换 函数 为 一 一 对 应 。 又 因为 9X3 mod 26 王 1, 所 以 其 加 密 变换 函数 和 解密 
变换 函数 分 别 为 

E(x)=9x mod 26 
D(x)=3xr mod 26 
所 以 得 明文 与 密 文 字母 对 应 关系 如 表 4. 3 所 示 。 


表 4.3 gq=26,k=9 的 乘 数 密码 


加 密 前 a b c d e f g h i j k 1 m 
加 密 后 A J S B 了 和 C L TU D M V 卫 
加 密 前 n o p q r s t u v w x y Zz 
加 密 后 N 二 到 O X G 于 Y H Q Zz I R 


44 | 计算 机 安全 
按照 上 述 乘 数 密码 的 加 密 规 则 ,假设 要 发 送 消息 
multiplicative cipher 
将 得 到 密 文 为 
EYVPUFVUSAPUHK SUFLKX 
对 于 gq 二 26,k 二 9 的 乘 数 密码 ,因为 9 与 26 互 素 ,所 以 加 密 变换 是 一 一 映射 的 。 对 于 
g 二 26, 这 样 的 上 的 选择 有 11 种 (一 1 虽然 与 g 互 素 ,但 明显 不 可 用 来 加 密 ): 
k=3,5,7;9,11,15,17,19,21,23,25 
因此 ,可 能 尝试 的 密 钥 也 只 有 11 个 , 密 钥 空间 太 小 。 一 般 对 于 已 知 的 明文 字母 表 , 乘 


数 密码 同样 也 很 容易 受到 唯 密 文 攻击 。 尤 其 是 当 密 文中 如 果 有 一 个 字母 相应 的 明文 已 
知 , 则 密 钥 即 可 确定 。 


t 


4.2.3 仿 射 密码 


仿 射 密码 ,也 称 作 线 性 同 余 密码 , 它 的 加 密 变 换 函 数 为 
E(xr)=(kzr+b) modg, 0<zr<g, 0<b<g 

其 中 数 对 (k,0) 为 密 钥 ,0 二 k 二 q。 显 然 当 k= 二 1 时 , 仿 射 密码 就 退化 成 为 移 位 密码 , 移 位 密 
码 是 仿 射 密码 的 特例 。 

显然 同 乘 数 密码 ,如果 A 与 4 互 素 , 则 对 区 间 0 入 :一 d 的 任意 整数 ,wmk mod g 二 4, 即 
上 述 加 密 函 数 是 一 一 对 应 的 ,其 解密 变换 函数 为 

Di(Cz)=A ICz — 6b) modg, 0<zr<g, 0<b<g 

对 于 gq 二 26 的 英文 字母 表 ,满足 与 g 互 素 的 12 个 不 同 值 相应 的 乘法 逆 元 如 表 4.4 所 示 。 


表 4.4 与 26 互 素 的 各 整数 的 乘法 逆 元 


1 mod 26=1 37! mod 26=9 
57! mod 26=21 77! mod 26 一 15 
9 mod 26 一 3 117! mod 26 一 19 
15-: mod 26 一 19 17-: mod 26=23 
19- mod 26=11 21-: mod 26 一 5 
237! mod 26=17 257! mod 26=25 


假设 k= 二 9,5 二 2, 因 为 k 与 gq 互 素 ,因此 加 密 函 数 为 

E(x) 一 (9z 十 2)mod 26 
假设 要 加 密 的 消息 为 affine, 加 密 过 程 如 下 : 
第 一 个 明文 字母 a( 相 应 z=0), 它 加 密 成 (9X0 十 2)mod 26 二 2, 即 字母 C; 
第 二 个 明文 字母 {( 相 应 zx 一 5) , 它 加 密 成 (9X5 十 2)mod 26 一 21, 即 字母 V; 
第 三 个 明文 字母 仍 是 {, 所 以 仍 加 密 为 V; 
第 四 个 明文 字母 i( 相 应 z 一 8) , 它 加 密 成 (9X8 十 2)mod 26 一 22, 即 字母 W; 
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第 五 个 明文 字母 n( 相 应 z 王 13) , 它 加 密 成 (9X13 十 2)mod 26 王 15, 即 字母 P; 

最 后 一 个 明文 字母 e( 相 应 二 4), 它 加 密 成 (9X4 十 2)mod 26 二 12, 即 字母 M。 
可 得 到 密 文 为 CVVWP M。 

由 表 4.4,& -一 3, 所 以 解密 变换 函数 为 

De(Cz) 王 3X(Cz 一 2) mod 26 王 (3z 一 6) mod 26 王 (3z 十 20) mod 26 

让 我 们 来 测试 一 下 ,字母 V( 相 应 zx 一 21) 被 映射 成 (3X21 十 20) mod 26 一 83 mod 26 一 5， 
即 字母 f, 类 似 地 ,可 恢复 得 到 明文 affine。 

如 果 我 们 的 加 密 变 换 函 数 为 

ECz) 一 (13z 十 4) mod 26 

假设 要 加 密 的 消息 为 input, 仿 照 上 面 的 加 密 过 程 可 得 到 密 文 ERROR; 如 果 要 加 密 
的 消息 为 alter, 得 到 的 密 文 也 是 ERROR。 很 明显 ,我 们 不 可 能 由 密 文 恢复 明文 ,这 说 明 
上 述 的 加 密 变换 函数 出 错 了 , 它 违 反 了 加 密 函 数 必须 是 一 一 对 应 的 原则 。 它 出 错 的 原因 
是 ,k==13 与 4 一 26 不 是 互 素 的 ,因而 若 要 求 k&”!, 即 求 满足 km mod 26 王 1 的 mm, 会 发 现 
该 方程 无 解 。 因 此 , 仿 射 密码 的 密 钥 空间 是 这 样 的 一 对 数 (k,5), 其 中 上 与 g 互 素 。 对 应 
英文 字母 表 , 与 26 互 素 的 & 有 12 种 选择 ,5b 有 26 种 选择 ,去 除 等 值 变 换 数 对 (1,0) ,可 供 
选择 的 密 钥 一 共有 12X26 一 1 二 311 种 。 

相 比 移 位 密码 ,对 于 同样 的 g, 仿 射 变换 的 密 钥 空间 大 了 很 多 ,并 且 通 常 我 们 取 4 为 
素数 ,这 样 任意 满足 0 二 k=<g 和 0<6b<g 的 所 有 数 对 (k,65) 都 可 以 作为 密 钥 。 但 对 于 使 用 
计算 机 进行 的 唯 密 文 攻击 来 说 , 穷 举 搜索 所 有 密 钥 ,虽然 比 移 位 密 钥 花 费 的 时 间 要 多 些 ， 
但 仍 不 是 什么 难事 。 当 所 有 密 钥 的 可 能 值 试 过 以 后 , 仅 通过 一 段 很 短 的 明文 就 可 能 推算 
出 密 钥 。 而 且 , 也 可 以 采用 频率 计算 ,根据 不 同 字母 的 出 现 频率 进行 统计 比较 ,对 于 较 长 
的 明文 也 可 推算 出 密 钥 。 

如 果 知 道 了 明文 的 两 个 字母 及 其 相对 应 的 明文 内 容 ,发动 已 知 明文 攻击 ,那么 通过 求 
解 联 立 方程 组 ,就 能 够 找 出 密 钥 ; 即便 未 能 找 出 密 钥 ,也 可 以 极 大 地 减 小 可 能 密 钥 的 
范围 。 

例如 ,假设 明文 用 if 开头 ,其 相应 的 明文 是 PQ, 即 i( 相 应 z 一 8) 映射 成 了 P( 即 ,15)， 
f( 相 应 z 一 5) 映 射 成 了 Q( 即 ,16) ,这 就 意味 着 可 得 如 下 方程 组 : 

(8XA 十 0) mod 26 = 15 
(5X& 十 bmod 26 = 16 

两 式 相 减 得 3k mod 26 王 一 1, 由 0 二 二 26 可 得 出 唯一 解 全 17 ,进而 代入 方程 组 中 
任 一 方程 ,并 由 0 二 5 二 26 可 求 得 0 一 9。 

即便 假设 攻击 者 仅 知道 明文 中 的 一 个 字母 对 应 的 密 文 ,那么 仅 得 到 上 述 方程 组 中 一 
个 方程 ,但 仍 可 以 将 原本 311 个 的 密 钥 空间 缩小 到 只 有 12 种 可 能 性 。 因 为 与 26 互 素 的 
k 只 有 12 种 选择 ,而 对 于 每 种 选择 ,相应 的 5 值 是 唯一 确定 的 。 因 此 , 穷 举 搜索 12 个 可 
能 的 密 钥 就 可 以 计算 出 正确 的 密 钥 。 

而 对 于 选择 明文 攻击 ,只 需 以 ab 作为 明文 便 可 轻易 找到 密 钥 。 
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4.2.4 代 换 密码 


代 换 密码 体制 已 经 广泛 使 用 几 百 年 ,其 基本 思想 是 将 明文 字母 表 的 一 个 置换 作为 加 
密 变 换 函 数 , 对 于 26 个 英语 字母 表 , 加 密 变 换 即 相当 于 重新 排列 了 字母 表 的 顺序 。 
表 4.5 是 一 个 随机 置换 的 例子 , 它 包 含 了 一 个 加 密 变 换 函 数 。 


表 4.5 代 换 密码 例 
加 密 前 a b c d e 和 g h ‘ j k 1 m 
加 密 后 XxX N 村 A H O G 2 Q Ww B 
加 密 前 n o p q r s 省 u v w x y z 
加 密 后 S F L R C V M U E K J D I 


因此 ,Ei(a) 二 X,Ei(b) 一 N,…。 解 密 变 换 函 数 是 反 向 置换 。 这 相当 于 是 “加 密 后 ” 
变 成 了 “加 密 前 ”, 而 “加 密 前 ” 变 成 了 “加 密 后 ”。 因 此 ,D(A) 二 d,Di(B) 二 1, 等 等 。 

代 换 密码 的 一 个 密 钥 就 是 字母 表 中 字母 的 一 种 置换 ,而 移 位 密码 和 仿 射 密码 也 字母 
表 中 字母 的 一 种 壮 换 ,因此 它们 也 都 是 代 换 密码 的 特例 。 对 于 英文 26 个 字母 而 言 ,存在 
261! 种 不 同 的 置换 ,这 个 数量 超过 4.0X10”, 是 一 个 非常 大 的 数 。 因 此 ,通过 穷 举 搜索 密 


钥 甚 至 对 计算 机 而 言 也 是 不 能 实行 的 。 
然而 ,通过 对 大 量 英文 文章 ,报纸 .小 说 和 杂志 进行 的 统计 分 析 ,我们 可 以 得 到 每 个 字 
母 在 日 常 文 本 中 出 现 的 概率 ,一 些 文献 上 给 出 了 如 表 4. 6 所 示 26 个 英文 字母 出 现 的 
概率 。 
表 4.6 英文 字符 出 现 概率 

字符 A B C D E F G H I 

概率 | 0.082 | 0.015 | 0.028 | 0.043 | 0.127 | 0.022 | 0.020 | 0.061 0.070 

字符 J K E M N O P Q R 

概率 0.002 | 0.008 | 0.040 | 0.024 | 0.067 | 0.075 | 0.019 | 0.001 0.060 

字符 S T U V Ww X 等 Zz 

概率 0.063 | 0.091 | 0.028 | 0.010 | 0.028 | 0.001 | 0.020 | 0.001 


由 表 4.6 可 知 ,26 个 英文 字符 的 出 现 概率 可 以 划分 成 5 个 部 分 : 

(1) 字符 下 的 概率 大 约 为 0. 12。 

(2) 字符 A、.H、I.N、O、R.、S、T 的 概率 为 0.06 一 0. 09。 

(3) 字符 D、L 的 概率 大 约 为 0. 04。 

(4) 字符 B.C、F.G、M、P、U、W、Y 的 概率 为 0.015~0. 023。 

(5) 字符 J.K、Q、V、X.Z 的 概率 小 于 0.01。 

当然 ,除了 26 个 英文 字符 呈现 出 的 统计 规律 性 外 ,还 有 一 些 字母 组 合 也 很 常见 ,如 
TH、 HE.IN\RE.DE.ST.EN.AT.OR.IS.ET.\IT.AR.,TE.HI.OF.THE.ING.\ERE.、 
ENT FOR 等 ,这 些 规 律 都 为 密码 分 析 提 供 了 很 好 的 依据 。 
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根据 以 上 英文 字母 的 统计 规律 性 ,可 以 实现 对 各 种 古典 密码 体制 的 破译 。 如 果 攻 击 
者 截获 了 大 量 密 文 ,通过 对 密 文中 字母 出 现 的 频率 计算 ,并 同 表 4. 6 中 字母 的 出 现 概 率 进 
行 比较 ,还 是 比较 容易 推算 出 密 钥 的 。 


4.2.5 维 吉 尼 亚 密码 


前 面 介绍 的 几 种 密码 体制 中 ,一旦 加 密 密 钥 被 选 定 , 则 字母 表 中 每 一 个 字母 都 会 被 加 
密 成 唯一 的 一 个 密 文 字母 ,这 些 密码 被 称 为 单 表 代 换 密码 。 本 节 介 绍 一 种 多 表 代 换 密 
码 维 吉 尼 亚 密 码 (Vigenere Cipher) , 它 是 由 法 国人 Blaise de Vigenere 在 1858 年 提 
出 的 。 在 维 吉 尼 亚 密码 中 , 密 钥 K 是 一 个 长 度 为 m 的 字符 串 ke…k, ,将 输入 明文 按 密 
钥 长 度 m 进行 分 组 ,对 任意 明文 分 组 z1x2…z ,加密 变换 为 
Ek (zyzz，…zn) 一 (zl 十 ,zs 十 ba，vZzn 十 em)mod 26 
相应 地 ,解密 变换 为 
Dr (yyyz… Ym) = (yk, ys — ks yn—kn)mod 26 
看 下 面 这 个 例子 。 
假设 二 6 和 关键 字 是 CIPHER, 这 对 应 于 密 钥 K 二 (2,8,15,7,4,17)。 假 设 明 文 是 


this cryptosystem is not secure 

首先 将 明文 进行 分 组 如 下 : 

thiscr yptosy stemis notsec ure 

然后 依次 对 每 个 分 组 进行 加 密 , 所 以 ,得 到 密 文 为 

VPXZGIAXIVWPUBTTMJPWIZITWZT 

具体 加 密 过 程 如 表 4.7 所 示 。 

要 解密 ,我 们 可 以 使 用 同一 个 关键 字 , 但 是 我 们 将 减 去 密 钥 中 相应 字符 并 对 26 求 余 
数 , 而 不 是 增加 。 注 意 到 ,在 一 个 维 吉 尼 亚 密码 中 长 度 为 m 的 可 能 关键 字 的 数量 的 是 
26” ,因此 即使 考虑 相对 较 小 的 m 值 , 穷 举 搜索 密 钥 也 将 需要 很 长 时 间 。 


表 4.7 维 吉 尼 亚 密 码 例 (m==6 和 关键 字 是 CIPHER) 


加 密 前 + h i s c r y p t o s y s t 
密 钥 | 2 8 15 7 4 17 中 8 15 4 17 2 |8 
加 密 后 V P x Z G i A x IT V | 到 | P U |B 
加 密 前 e m i s n o 这 s e < u e 
密 钥 | 15 7 4 17 2 8 15 和 4 17 2 8 1 
加 密 局 工 T | M J FE |W L 多 i 至 | 殉 小 涝 全 


例如 ,如 果 我 们 采用 mr 二 5, 则 密 钥 空间 大 小 将 超出 1. 1X107 。 这 已 经 足够 大 ,完全 
可 以 阻止 手工 的 穷 举 搜索 ,但 对 计算 机 来 说 还 不 行 。 
在 一 个 关键 字 长 为 m 的 维 吉 尼 亚 密码 体制 中 ,一 个 字符 可 以 被 映射 为 m 个 可 能 的 字 
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符 ( 假 设 关键 字 包 含 mn 个 不 同 字符 ) ,这 样 的 密码 体制 称 为 多 表 的 。 一 般 来 说 ,多 表 密 码 
体制 的 密码 分 析 首 先 要 猜测 分 组 长 度 , 因 此 比 单 表 密 码 体制 的 密码 分 析 要 困难 得 多 。 


4.2.6 置换 密码 


前 面 所 讨论 的 密码 都 涉及 代 换 : 明文 字符 被 不 同 的 密 文字 符 所 替换 。 置 换 密码 的 思 
想 是 保持 明文 字符 不 变 ,但 是 通过 重新 排列 改变 它们 在 消息 的 位 置 而 达到 对 一 个 消息 进 
行 加 密 变换 。 管 换 密码 (也 称 为 换 位 密码 ) 已 运用 数 百年 。 蜀 换 密码 是 古典 密码 中 除 代 换 
密码 外 的 重要 一 类 , 它 被 广泛 应 用 于 现代 分 组 密码 的 构造 。 
在 置换 密码 体制 中 ,选择 mw 宇 2 的 一 个 正 整数 ,K 是 集合 {1,2,…,m} 上 所 有 可 能 置换 构 
成 的 集合 。 若 省 换 r 一 | : ， 。 1 .四 第 一 个 元 素 经 置换 后 排 在 第 三 个 位 置 ,第 二 个 
元 素 置换 后 排 在 第 一 个 位 置 ,第 三 个 元 素 置换 后 排 在 第 五 个 位 置 ,第 四 个 元 素 置换 后 排 在 第 
二 个 位 置 ,第 五 个 元 素 置换 后 排 在 第 四 个 位 置 。 我 们 也 记 x (1) 一 3,f (2) 一 1 ,以 此 类 推 。 相 
应 好 ,着 ix- 为 = 的 间 思 换 , 则 lw 一 | ， a |-|， | 
和 公 通 . 业 三 党 
对 分 组 长 度 为 m 的 分 组 (zi yz，…,zs) 和 置换 frE 开 ,加 密 变换 函数 为 
E(x T2393 Tm) = (TD Za2) 9 9 Ta ) 
若 记 加 密 结果 为 Cw ,ys ,，…,w), 则 解密 变换 函数 为 
Ds: Cy yym) 一 (ya yy ) 
对 于 长 度 大 于 分 组 长 度 mm 的 明文 消息 ,可 对 明文 消息 先 按照 长 度 m 进行 分 组 ,然后 
依次 对 每 一 个 分 组 消息 进行 置换 加 密 过 程 。 


1 2 3 4 
例如 , 令 om 人 3 1 4 | 
假设 明文 为 


this cryptosystem is not secure 


加 密 过 程 首先 根据 二 4, 将 明文 分 为 6 个 分 组 ,每 个 分 组 4 个 字符 
this cryp tosy stem isno tsec rue 
然后 应 用 置换 变换 z 加 密 成 下 面 的 密 文 : 


hsti rpcy oyts tmse soin scte rue 


相应 地 ,解密 密 铀 为 * 一 1 一 [， J | 在 以 上 加 密 过 程 中 ,首先 应 用 给 定 的 分 


组 长 度 m 对 消息 序列 进行 分 组 。 当 消息 长 度 不 是 分 组 长 度 的 整数 倍 时 ,可 以 在 最 后 一 段 
分 组 消息 后 面 添加 足够 的 特殊 字符 ,从 而 保证 能 够 以 m 为 消息 分 组 长 度 。 上 例 中 ,我 们 
在 最 后 的 分 组 消息 ure 后 面 增加 了 1 个 空格 ,以 保证 分 组 长 度 的 一 致 性 。 

对 于 固定 的 分 组 长 度 ,(1,2,…,m} 上 共有 m! 种 不 同 的 排列 ,所 以 相应 的 置换 密码 
共有 闷 ! 种 不 同 的 密 钥 。 应 注意 的 是 ,置换 密码 并 未 改变 密 文 消息 中 英文 字母 的 统计 
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特性 ,所 以 置换 密码 对 于 抗 频 度 分 析 技 术 来 说 是 不 安全 的 。 

在 前 面 介绍 的 几 个 典型 的 古典 密码 体制 里 .含有 代 换 和 置换 两 个 基本 操作 。 代 换 实 
现 了 英文 字母 外 在 形式 上 的 改变 ; 置换 实现 了 英文 字母 所 处 位 置 的 改变 。 这 两 个 基本 操 
作 具 有 原理 简单 且 容易 实现 的 特点 。 随 着 计算 机 技术 的 飞速 发 展 ,古典 密码 体制 的 安全 
性 已 经 无 法 满足 实际 应 用 的 需要 ,但 是 代 换 和 置换 这 两 个 基本 操作 仍 是 构造 现代 对 称 加 
密 算法 最 重要 的 核心 方式 。 举 例 来 说 , 代 换 和 置换 操作 在 数据 加 密 标准 (DES) 和 高 级 加 
密 标准 (AES) 中 都 起 到 了 核心 作用 。 几 个 简单 密码 算法 的 结合 可 以 产生 一 个 安全 的 密码 
算法 ,这 就 是 简单 密码 仍 被 广泛 使 用 的 原因 。 除 此 之 外 ,简单 的 代 换 和 置换 密码 在 密码 协 
议 上 也 有 广泛 的 应 用 。 


习题 


.密码 学 包括 哪 两 个 部 分 ? 
. 攻击 可 以 哪 两 种 方式 进行 ? 
. 受 限制 算法 的 局 限 性 体现 在 什么 地 方 ? 
什么 是 Kerchoffs 原理 ? 
. 为 什么 说 一 次 一 密 具 有 很 好 的 安全 性 ? 
. 从 原理 上 讲 ,对称 密 钥 和 非 对 称 密 钥 的 区 别 在 哪里 ? 
.密码 体制 的 安全 性 衡量 标准 有 哪些 级 别 ? 
. 攻击 的 手段 一 般 有 哪些 ? 
. 已 撤 密 码 密 钥 为 k= 二 11 ,明文 为 we will meet at midnight, 请 将 其 加 密 。 

10. 在 Alice 和 Bob 的 保密 通信 中 ,传送 的 密 文 是 RJJY RJ TS YMJ XFGGFYM BJ 
BNQQ INXHZXX YMJ UQFS, 如 果 他 们 采用 的 是 恺 撤 密 码 算法 , 试 解密 其 通信 内 容 。 

11. 已 知 仿 射 密码 的 密 钥 为 (13,5), 应 用 该 密 钥 对 明文 消息 cryptography and 
network security 进行 加 密 , 试 给 出 相应 的 密 文 消息 。 

12. 维 吉 尼 亚 密 码 的 密 钥 字 为 “CODE”, 试 将 明文 “this cryptosystem is not secure” 
加 密 。 

13. 在 一 个 密码 体制 中 ,如 果 对 应 一 个 密 钥 的 加 密 函 数 EE 和 解密 函数 D 相同 , 那 
么 将 这 样 的 密 钥 & 称 为 对 合 密 钥 。 试 找 出 定义 在 26 个 英文 字母 上 的 移 位 密码 体制 中 的 
所 有 对 合 密 钥 。 

14. 设置 换 密码 体制 中 ,m 二 6, 给 定 的 置换 x 如 下 : 

1 2 3 4 6 
上 5 1 6 4 | 

试 给 出 置换 x 的 逆 置 换 , 并 应 用 置换 x 对 以 下 明文 消息 进行 加 密 : a secure cipher does not 
exlst 


15. 为 什么 说 古典 加 密 体制 是 较 弱 的 密码 体制 ? 


CoN rr- 
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第 4 章 介绍 的 各 种 密码 是 一 些 在 计算 机 发 明 以 前 常 使 用 的 一 些 经 典 密码 ,其 开发 、 实 
现 和 分 析 大 多 数 都 可 以 手工 完成 ,即便 使 用 计算 机 ,也 是 为 了 让 加 密 和 分 析 更 有 效率 。 
本 童 介绍 的 各 种 密码 将 充分 利用 计算 机 善于 处 理 加 密 的 复杂 性 特征 ,它们 的 实现 利用 
手工 几乎 是 不 能 完成 的 ,对 它们 的 分 析 即 使 是 使 用 计算 机 也 是 非常 复杂 甚至 没有 有 效 
方法 的 。 


5.1 DES 


DES 是 迄今 为 止 流行 最 广 、 使 用 时 间 最 长 的 加 密 算法 ,也 是 现代 分 组 密码 技术 的 典 
型 。1977 年 ,根据 美国 国家 安全 局 的 建议 ,经 过 修改 后 的 IBM 的 Lucifer 加 密 系 统 成 为 
了 数据 加 密 标准 一 一 DES。 原 规定 使 用 期 10 年 ,每 隔 5 年 美国 国家 安全 局 对 其 安全 性 进 
行 一 次 评估 ,以 便 确定 是 否 继续 使 用 它 作 为 加 密 标准 。 然 而 10 年 后 并 未 发 现 有 任何 攻击 
能 够 威胁 到 它 的 安全 , 且 比 它 更 好 的 标准 尚未 产生 ,所 以 直到 20 世纪 90 年 代 , 它 一 直 在 
延期 使 用 ,可 见 它 是 很 成 功 的 。 在 1994 年 1 月 的 评估 后 决定 ,1998 年 12 月 以 后 不 再 将 
DES 作为 加 密 标 准 。 虽 然 DES 的 使 用 寿命 已 经 到 了 尽头 ,但 在 它 之 后 产生 的 许多 加 密 
方法 都 直接 或 间接 地 受到 了 它 的 启发 。 作 为 密码 学 历史 上 最 为 重要 的 一 个 传统 密码 系 
统 ,DES 对 推动 密码 理论 的 发 展 和 应 用 起 了 重大 的 作用 。 


5.1.1 分 组 密码 
分 组 密码 也 是 基于 代 换 和 置换 这 两 个 基本 操作 的 , 它 是 将 明文 分 成 国定 长 度 的 一 些 


分 组 ,在 密 钥 作 用 下 逐 段 进行 加 密 的 方法 。 这 样 做 的 好 处 是 处 理 速 度 快 ,可 靠 性 高 , 软 硬 
件 都 能 实现 ,而 且 节 省 资源 ,容易 标准 化 。 因 此 ,分 组 密码 得 到 了 广泛 的 应 用 ,同时 也 使 分 
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组 密码 成 为 许多 密码 组 件 的 基础 。 
1. 分 组 密码 实现 的 设计 原则 


分 组 密码 的 实现 依赖 于 相应 的 软 硬 件 环境 。 

分 组 密码 软件 实现 的 要 求 是 : 使 用 特定 分 组 长 度 和 简单 的 运算 。 加 密 运 算 在 分 组 上 
进行 ,因此 要 求 分 组 的 长 度 能 自然 地 适应 软件 编程 ,如 8、16、32bit 等 。 在 分 组 上 所 进行 
的 加 密 运算 尽量 采用 易于 软件 实现 的 运算 ,最 好 是 用 标准 处 理 器 所 具有 的 一 些 基 本 指令 ， 
如 加 法 、 乘 法 、 移 位 等 。 

分 组 密码 硬件 实现 的 要 求 是 : 加 密 和 解密 的 相似 性 , 即 加 密 和 解密 过 程 的 不 同 应 仅 
仅 在 密 钥 使 用 方式 上 ,以便 采 用 同样 的 器 件 来 实现 加 密 和 解密 ,以 节省 费用 和 空间 。 尽 量 
采用 标准 的 组 件 结构 ,以便 能 适应 于 在 超大 规模 集成 电路 中 实现 。 


2. 分 组 密码 的 结构 


DES 是 基于 Feistel 分 组 密码 的 结构 而 设计 的 ,因此 这 里 介绍 的 是 Feistel 型 分 组 密 
码 的 基本 结构 。 加 密 算法 的 初始 输入 是 一 个 长 度 为 2L 位 的 明文 分 组 序列 和 一 个 初始 密 
钥 K ,在 加 密 之 前 先 将 分 组 的 明文 序列 等 分 成 长 度 均 为 L 的 L。 和 R 两 部 分 。 加 密 过 程 
分 为 n 轮 进行 ,其 中 第 i 轮 以 第 i 一 1 轮 输出 的 工 -1 和 R;-1 作 为 输入 ,此 外 第 i 轮 加 密 过 程 
的 输入 还 包括 从 初始 密 钥 K 产生 的 子 密 钥 尺 ;。 第 i 轮 的 加 密 过 程 由 两 步 操 作 实 现 : 第 
一 步 先 对 R;_1 使 用 轮 函数 /和子 密 钥 K; 进行 变换 ,将 变换 结果 与 L;-1 再 进行 异 或 运算 ， 
运算 结果 作为 Ri; 第 二 步 将 R;_1 直接 作为 L; 得 到 第 i 轮 的 输出 值 。 最 终 将 加 密 过 程 的 
输出 序列 L, 和 R, 组 合 起 来 产生 相应 的 长 度 是 2L 位 的 密 文 。 

第 i 轮 加 密 流程 图 如 图 5. 1 所 示 。 ZL 位 ) RICE 位 ) 

根据 分 组 密码 的 基本 结构 可 知 ,Feistel 型 分 组 密码 的 x 
安全 性 取决 于 以 下 几 个 方面 。 O b 

(1) 分 组 大 小 

在 其 他 条 件 相 同 的 情况 下 ,每 一 轮 加 密 的 分 组 长 度 越 
大 ,加 密 算法 的 安全 性 也 就 越 高 ,但 相应 的 处 理 速 度 也 就 越 
慢 。 对 于 通过 计算 机 来 实现 的 分 组 密码 算法 ,通常 选取 的 
分 组 长 度 为 64 位 。 但 是 , 随 着 近年 来 计算 机 计算 能 力 的 不 ”图 5.1 第 i; 轮 加 密 流 程 图 
断 提高 ,分 组 长 度 为 64 位 的 分 组 密码 的 安全 性 已 越 来 越 不 
能 满足 实际 需要 ,为 了 提高 加 密 的 安全 性 ,很 多 分 组 密码 开始 选择 128 位 作为 算法 的 分 组 
长 度 。 

(2) 子 密 钥 的 大 小 

子 密 钥 长 度 越 大 ,加 密 算法 的 安全 性 也 就 越 高 ,但 相应 的 处 理 速度 就 会 降低 ,所 以 设 
计 分 组 密码 时 同样 需要 在 安全 性 和 加 密 效 率 之 间 进 行 平衡 。 在 实际 应 用 中 ,一般 认为 ,要 
保证 分 组 加 密 算法 满足 计算 安全 性 , 子 密 钥 的 长 度 至 少 要 大 于 128 位 。 

(3) 轮 数 

加 密 轮 数 越 多 安全 性 越 高 ,但 相应 的 加 密 效 率 也 就 越 低 。 典 型 的 加 密 轮 数 取 16 次 。 
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(4) 子 密 钥 产生 算法 

在 初始 密 钥 给 定 的 情况 下 ,产生 子 密 钥 的 算法 越 复杂 ,加 密 算法 的 安全 性 越 高 ,相应 
的 处 理 速 度 也 就 越 慢 。 

(5) 轮 函数 / 

对 于 轮 函 数 的 讨论 相对 较 复杂 ,一 般 认为 , 轮 函 数 了 越 复杂 ,对 应 的 加 密 算法 的 安全 
性 越 高 。 

Feistel 分 组 密码 的 解密 过 程 与 加 密 过 程 是 相同 的 。 解 密 过 程 将 密 文 作为 算法 的 输 
入 ,同时 按照 与 加 密 过 程 相反 的 次 序 使 用 子 密 钥 对 密 文 序列 进行 “加 密 ”: 即 第 1 轮 使 用 
K, ,第 2 轮 使 用 KK, ,以 此 类 推 ,最 后 一 轮 使 用 Ki ,进行 相同 次 数 * 加 密 ”,“ 加 密 ” 的 结果 
就 得 到 相应 的 明文 序列 。 


3. f 函数 的 设计 准则 


Feistel 分 组 密码 的 核心 是 轮 函数 F。 设 计 轮 函数 /的 一 个 基本 准则 是 要 求 /是 非 线 
性 的 。/ 的 非 线性 程度 越 强 , 则 算法 的 安全 性 能 越 高 ,相应 的 攻击 难度 也 就 越 大 。 

在 前 面 介 绍 的 古典 密码 系统 中 (如 维 吉 尼 亚 密码 ) ,它们 有 的 也 要 对 明文 进行 分 组 , 例 
如 表 4.7 中 维 吉 尼 亚 密码 的 例子 分 组 长 度 为 6。 但 它们 不 能 称 为 分 组 密码 的 原因 是 ,如 
果 明 文 分 组 中 单个 字符 发 生 改 变 , 只 会 导致 密 文 分 组 中 单个 字符 发 生 改 变 。 在 分 组 密码 
中 , 密 文 分 组 中 的 所 有 位 与 明文 分 组 中 的 所 有 位 有 关 , 如 果 明 文 分 组 的 单个 位 发 生变 化 ， 
那么 密 文 分 组 中 平均 有 一 半 的 位 要 发 生 改变 。 这 就 是 所 谓 的 加 密 算法 应 该 具有 良好 的 
“雪崩 效应 ”。 

设计 的 / 函数 应 该 满足 严格 雪崩 准则 (strict avalanche criterion,SAC) ,这 个 准则 的 
具体 内 容 是 : 对 于 任意 的 ij, 当 任何 一 个 输入 位 i 发 生 改 变 时 ,任何 输出 位 j 的 值 发 生 改 
变 的 概率 为 1/2。 

设计 f 函数 还 应 该 满足 保证 雪崩 准则 (guaranteed avalanche criterion,GAC) ,这 个 
准则 的 具体 内 容 是 : 一 个 好 的 『 函数 应 该 满足 阶 的 GA(guaranteed avalanche) ,也 就 
是 说 对 于 输入 序列 中 1 位 的 值 发 生 改变 ,输出 序列 中 至 省 有 位 的 值 发 生 改变 。 一 般 要 
求 半 的 值 介 于 2 一 5 之 间 。 

了 函数 的 设计 除了 要 满足 以 上 讨论 的 SAC 和 GAC 准则 外 ,还 应 满足 的 一 个 准则 是 
位 独立 准则 (bit independence criterion,BIC) ,这 个 准则 的 具体 内 容 是 : 对 于 任意 的 i、j、 
k, 当 任何 一 个 输入 位 i 发生 改 变 时 ,输出 位 7 和 的 值 应 该 独立 地 发 生 改变 。 

当然 除了 以 上 要 求 ,关于 f 函数 的 设计 还 有 很 多 其 他 的 建议 和 要 求 。 这 些 要 求 和 建 
议 都 是 为 了 改进 f 函数 的 非 线 性 和 随机 性 ,从 而 增强 分 组 密码 算法 的 安全 性 。 


4. 分 组 密码 的 工作 模式 


在 介绍 DES 细节 之 前 ,有 必要 先 看 看 分 组 密码 的 常见 工作 模式 。 这 样 ,应 用 方法 就 
没有 与 特定 的 实现 绑 定 在 一 起 ,任何 分 组 密码 (比如 DES、AES 等 ) 可 以 使 用 以 下 儿 种 模 
式 之 一 : 电码 本 模式 (electronic-codebook mode,ECB) , 密 文 分 组 链接 模式 (cipher-block- 
chaining,CBC) ,计数 器 模式 (counter mode.CTR) 。 除 了 这 几 种 模式 外 ,人 们 还 开发 了 多 
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种 其 他 分 组 加 密 模式 。 

ECB 模式 是 最 简单 的 模式 。 事 实 上 ,我们 前 面 介绍 的 就 是 这 种 模式 ,明文 中 一 系列 
连续 的 消息 分 组 被 依次 分 别 加 密 成 密 文 的 连续 分 组 。 由 于 这 种 工作 模式 类 似 于 电报 密码 
本 中 指定 码 字 的 过 程 ,因此 被 形象 地 称 为 电码 本 模式 。 解 密 过 程 类 似 , 密 文 的 一 系列 连续 
分 组 被 依次 分 别 解密 成 明文 的 消息 分 组 。ECB 模式 中 每 一 个 明文 分 组 都 采用 同一 个 密 
钥 来 进行 加 密 , 产 生出 相应 的 密 文 分 组 。 这 样 的 加 密 方式 使 得 当 改 变 一 个 明文 消息 分 组 
值 的 时 候 ,仅仅 会 引起 相应 的 密 文 分 组 取 值 发 生变 化 ,而 其 他 密 文 分 组 不 受 影响 。 这 种 工 
作 模 式 的 一 个 明显 的 缺点 是 ,加 密 相同 的 明文 分 组 会 产生 相同 的 密 文 分 组 ,安全 性 较 差 ， 
因此 建议 在 大 多 数 情况 下 不 要 使 用 ECB 模式 。 

CBC 模式 的 实现 更 为 复杂 (当然 是 为 了 增加 安全 性 )。 它 是 使 用 最 普遍 的 分 组 加 密 
模式 。 在 这 种 模式 中 ,对 于 连续 分 组 里 来 自 上 一 分 组 的 密 文 与 当前 明文 分 组 做 异 或 运算 ， 
其 结果 作为 本 次 加 密 的 分 组 ,而 第 一 个 密 文 分 组 的 计算 需要 一 个 特殊 的 输入 分 组 。 鉴 于 
CBC 模式 的 链接 机 制 , 它 适合 于 对 长 度 较 长 的 明文 消息 进行 加 密 。 

CTR 模式 是 一 种 相对 较 新 的 模式 。 在 该 模式 中 ,没有 用 分 组 密码 去 加 密 明 文 ,而 是 
用 来 加 密 计数 器 的 值 ,然后 再 与 消息 分 组 进行 异 或 运算 ,作为 加 密 的 密 文 分 组 。 这 种 模式 
的 一 个 好 处 是 ,如 果 同 时 知道 了 m 个 计数 器 的 值 ,那么 就 可 以 并 行 的 将 消息 分 组 进行 加 
密 或 解密 。 


5.1.2 DES 描述 


DES 是 一 个 分 组 加 密 算法 , 它 以 64 位 为 分 组 对 数据 进行 加 密 。64 位 的 明文 分 组 序 
列 作 为 加 密 算法 的 输入 ,经 过 16 轮 加 密 得 到 64 位 的 密 文 分 组 序列 。 加 密 密 钥 的 长 度 为 
56 位 ( 密 钥 通常 表示 为 64 位 的 数 ,但 每 个 第 8 位 都 用 作 奇 偶 校 验 位 ,可 以 忽略 ) , 密 钥 可 
以 是 任意 的 56 位 数 ,其 中 极 少 量 的 56 位 数 被 认为 是 弱 密 钥 。 为 了 保证 加 密 的 安全 性 ,在 
加 密 过 程 中 应 该 尽量 避 开 使 用 这 些 弱 密 钥 。 

DES 对 64 位 的 明文 分 组 序列 进行 如 下 操作 

Q@ 通过 一 个 初始 置换 IP, 将 64 位 的 明文 分 组 序列 分 成 各 32 位 长 的 左 半 部 分 和 右 半 
部 分 ,该 初始 置换 只 在 16 轮 加 密 过 程 进行 之 前 进行 一 次 ,在 接 下 来 的 轮 加 密 过 程 中 不 再 
进行 该 置换 操作 。IP 置换 是 将 64 位 的 明文 各 个 位 进行 换 位 到 其 他 位 置 ,比如 ,输入 分 组 
的 第 58 位 置换 到 第 1 位 ,把 输入 分 组 的 第 50 位 置换 到 第 2 位 ,等 等 。 

@ 经 过 初始 置换 操作 后 ,对 得 到 的 64 位 分 组 序列 进行 16 轮 加 密 运算 ,这 些 运算 即 
轮 函 数 /, 在 运算 过 程 中 ,输入 数据 与 密 钥 结合 。 经 过 16 轮 加 密 后 , 左 、 右 半 部 分 合 在 一 
起 得 到 一 个 64 位 的 输出 分 组 序列 。 

@ 该 输出 分 组 序列 再 经 过 一 个 末尾 置换 IP71 (初始 置 换 的 逆 置 换 ) 获 得 最 终 的 密 文 
分 组 序列 。 

其 加 密 过 程 如 图 5. 2 所 示 。 
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图 5.2 DES 加 密 过 程 
在 每 一 轮 加 密 过 程 中 ,函数 / 如 图 5. 3 所 示 , 其 运算 包括 以 下 4 个 部 分 。 
1. 密 钥 置换 


DES 加 密 算 法 输入 的 初始 密 钥 为 64 位 ,由 于 每 个 字 节 的 第 8 位 作为 奇偶 校 验 位 ,以 
确保 密 钥 不 发 生 错误 ,因此 加 密 算 法 的 初始 密 钥 不 考虑 每 个 字 节 的 第 8 位 ,DES 的 初始 
密 钥 实际 对 应 一 个 56 位 的 序列 。 对 初始 密 钥 的 每 一 位 也 先进 行 相应 的 置换 操作 ,然后 
DES 的 每 一 轮 加 密 过 程 从 56 位 密 钥 中 产生 出 不 同 的 48 位 子 密 钥 (subkey) ,这 些 子 密 钥 
K,; 通过 以 下 方法 产生 : 

中 将 56 位 密 钥 等 分 成 两 部 分 ,每 部 分 的 长 度 为 28 位 。 

@ 根据 加 密 轮 数 ,这 两 部 分 密 钥 分 别 循环 左 移 1 位 或 2 位 。 
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Ri-1(32 位 ) 


Ey K(56 位 ) 
1 


se- 衣 (48 位 ) 


XXX 


ey 


, 
图 5.3 了 函数 


@ 对 循环 左 移 以 后 的 56 位 密 钥 中 经 压缩 置换 选 出 其 中 48 位 作为 当前 加 密 的 轮 
密 钥 。 

以 上 产生 轮 密 钥 的 过 程 中 ,由 于 每 一 次 进行 压缩 置换 之 前 都 包含 一 个 循环 移 位 操作 ， 
因此 产生 每 一 个 子 密 钥 时 ,使 用 了 不 同 的 初始 密 钥 子 集 。 虽 然 初 始 密 钥 的 所 有 位 在 子 密 
钥 中 使 用 的 次 数 并 不 完全 相同 ,但 在 产生 的 16 个 48 位 的 子 密 钥 中 ,初始 密 钥 的 每 一 位 会 
被 14 个 子 密 钥 使 用 。 


2. 扩展 变换 (CE 盒 ) 


一 个 扩展 置换 已 将 64 位 输入 的 右 半 部 分 R; 从 32 位 扩展 到 48 位 ,然后 与 48 位 
的 轮 密 钥 K; 进行 异 或 运算 。 扩 展 变换 不 仅 改变 了 尽 中 32 位 输入 分 组 的 次 序 ,而且 重 复 
了 某 些 位 。 这 个 操作 有 以 下 三 个 基本 目的 : 

@ 经 过 扩展 变换 可 以 应 用 32 位 的 输入 分 组 产生 一 个 与 轮 密 钥 长 度 相同 的 48 位 的 
序列 ,从 而 实现 与 轮 密 钥 的 异 或 运算 。 

@ 扩展 变换 针对 32 位 的 输入 分 组 提供 了 一 个 48 位 的 结果 ,使 得 在 接 下 来 的 替代 运 
算 中 能 进行 压缩 ,从 而 达到 更 好 的 安全 性 。 

@ 由 于 输入 分 组 的 每 一 位 将 影响 到 两 个 蔡 换 ,因此 输出 分 组 对 输入 分 组 的 依赖 性 将 
传播 得 更 快 ,体现 出 良好 的 “雪崩 效应 ”。 所 以 ,该 操作 有 助 于 设计 的 DES 算法 尽 可 能 快 
使 密 文 的 每 一 位 依赖 于 明文 和 密 钥 的 每 一 位 。 

在 扩展 变换 过 程 中 ,每 一 个 输出 分 组 的 长 度 都 大 于 输入 分 组 ,而 且 该 过 程 对 于 不 同 的 
输入 分 组 都 会 产生 唯一 的 输出 分 组 。 
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每 一 轮 加 密 的 48 位 的 轮 密 钥 与 扩展 后 的 分 组 进行 异 或 运算 以 后 ,得 到 一 个 48 位 的 
结果 序列 。 接 下 来 应 用 S 盒 对 该 序列 进行 代 换 操作 。 代 换 通 过 8 个 代 换 盒 (substitution 
boxes,S 盒 ) 完 成 ,48 位 的 输入 序列 被 分 为 8 个 6 位 的 分 组 ,每 一 分 组 对 应 一 个 S 盒 代 换 
操作 ,每 一 个 S 盒 对 应 6 位 的 输入 序列 ,得 到 相应 的 4 位 输出 序列 。 在 DES 算法 中 ,这 8 
个 S 盒 是 不 同 的 ,分 组 1 由 Si 操作 ,分 组 2 由 S; 操作 ,以 此 类 推 。 

S 盒 的 设计 是 DES 分 组 加 密 算 法 的 关键 步骤 。 因 为 在 DES 算法 中 ,所 有 其 他 的 运 
算 都 是 线性 的 ,易于 分 析 , 而 S 盒 是 非 线性 运算 , 比 DES 的 其 他 任何 操作 能 提供 更 好 的 安 
全 性 。 运 用 S 盒 的 进行 代 换 过 程 的 结果 为 8 个 4 位 的 分 组 ,它们 重新 合 在 一 起 形成 了 一 
个 32 位 的 分 组 。 每 个 S 盒 对 应 一 个 4 行 16 列 的 表 , 表 中 的 每 一 项 都 是 一 个 十 六 进 制 的 
数 ,相应 的 对 应 一 个 4 位 的 序列 。S 盒 输入 的 6 个 位 序列 以 一 种 非常 特殊 的 方式 对 应 S 
盒 中 的 某 一 项 ,通过 S 盒 的 6 个 位 输入 确定 了 其 对 应 的 4 个 输出 位 序列 所 在 的 行 和 列 的 
值 。 假 定 将 S 盒 的 6 位 的 输入 标记 为 5b、bs 、bs、b4、bs 、bs, 则 6 和 bs 组 合 构成 了 一 个 2 位 
的 序列 ,该 2 位 的 序列 对 应 一 个 介 于 0 一 3 的 十 进 制 数字 ,该 数字 即 表 示 输 出 序列 在 对 应 
的 S 盒 中 所 处 的 行 ; 输入 序列 中 5 ~bs 构成 了 一 个 4 位 的 序列 ,该 4 位 的 序列 对 应 一 个 
介 于 0 一 15 的 十 进 制 数字 ,该 数字 即 表示 输出 序列 在 对 应 的 S 盒 中 所 处 的 列 ,根据 行 和 列 
的 值 可 以 确定 相应 的 输出 序列 。 

我 们 看 下 面 这 个 例子 。 

假设 对 应 某 S 盒 的 输入 序列 为 110011。 第 1 位 和 最 后 一 位 组 合 构成 的 序列 为 11 ,对 
应 的 十 进 制 数字 为 3, 说 明 对 应 的 输出 序列 位 于 S 盒 的 第 3 行 ; 中 间 的 4 位 组 合 构成 的 序 
列 为 1001 ,对 应 的 十 进 制 数字 为 9, 说明 对 应 的 输出 序列 位 于 该 S 盒 的 第 9 列 。 注 意 , 行 、 
列 的 记 数 均 从 0 开始 ,而 不 是 从 1 开始 。 


4. P 盒 置 换 


经 S 盒 代 蔡 运算 后 的 32 位 输出 依照 P 盒 (permutation boxes) 进 行 置换 。 

该 置换 对 32 位 的 输入 分 组 进行 一 次 置换 操作 ,把 每 个 输入 位 映射 到 相应 的 输出 位 ， 
任 一 位 不 能 被 映射 两 次 ,也 不 能 被 略 去 。 

将 也 盒 置 换 的 结果 与 该 轮 输 入 64 位 分 组 的 左 半 部 分 进行 异 或 运算 后 ,得 到 本 轮 加 
密 输出 序列 的 右 半 部 分 ,本 轮 加 密 输入 序列 的 右 半 部 分 直接 输出 ,作为 本 轮 加 密 输 出 序列 
的 左 半 部 分 ,相应 得 到 64 位 的 输出 序列 。 将 函数 了 的 输出 与 输入 分 组 的 左 半 部 分 进行 异 
或 运算 后 的 结果 作为 新 一 轮 加 密 过 程 输入 序列 的 右 半 部 分 ,当前 输入 分 组 的 右 半 部 分 作 
为 新 一 轮 加 密 过 程 输入 分 组 的 左 半 部 分 。 上 述 过 程 重复 操作 16 次 , 便 实现 了 DES 的 16 
轮 加 密 运 算 。 

假设 B; 是 第 i 轮 计算 的 结果 . 则 B; 为 一 个 64 位 的 分 组 ,L; 和 R; 分 别 是 B; 的 左 半 
部 分 和 右 半 部 分 ,K; 是 第 i 轮 的 48 位 密 钥 , 且 f 是 实现 代 换 、 和 置换 及 密 钥 异 或 等 运算 的 
函数 ,那么 每 一 轮 加 密 的 具体 过 程 可 表示 为 

L; = Ri 


R; = Li 四 f (Re, K;) 

DES 算法 的 加 密 过 程 经 过 了 多 次 的 蔡 代 、 置 换 . 异 或 和 循环 移 位 操作 ,整个 加 密 过 程 
似乎 非常 复杂 。 实 际 上 ,DES 算法 具有 Feistel 分 组 密码 的 一 个 基本 性 质 : 加 密 和 解密 可 
使 用 相同 的 算法 , 即 解密 过 程 是 将 密 文 作为 输入 序列 进行 相应 的 DES 加 密 , 与 加 密 过 程 
唯一 不 同 之 处 是 ,解密 过 程 使 用 的 轮 密 钥 与 加 密 过 程 使 用 的 次 序 相 反 。 因 此 ,每 一 轮 解 密 


的 具体 过 程 为 


R=L 
Li = Ri @ f(Li,Ki) 


让 我 们 考察 下 面 的 DES 加 密实 


例 。 


已 知 明 文 m= 二 computer, 密 钥 K 二 program。 


1. 初始 置换 
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初始 置换 IP 如 表 5. 1 所 示 。 该 表 表示 ,IP 管 换 把 输入 分 组 的 第 58 位 置换 到 输出 分 
组 的 第 1 位 ,把 输入 分 组 的 第 50 位 置换 到 输出 分 组 的 第 2 位 ,以 此 类 推 。 


表 5.1 初始 置换 IP 


58 50 
60 52 
62 54 
64 56 
57 49 
59 51 
61 53 
63 55 


42 
44 
46 
48 
41 
43 
45 
47 


34 
36 
38 
40 
33 
35 
37 
39 


相应 的 末尾 置换 IP 一 如 表 5. 2 所 示 。 
表 5.2 末尾 置换 IP”' 


26 
28 
30 
32 
25 
27 
29 
31 


~ 
办 
宁 
Woowrmo om 


40 8 48 16 56 24 64 32 

39 7 47 15 55 23 63 31 

38 6 45 14 54 22 62 30 

37 5 44 13 53 21 61 29 

36 4 43 12 52 20 60 28 

35 3 42 11 51 19 59 27 

34 2 41 10 50 18 58 26 

33 1 40 9 49 17 57 25 

相应 于 明文 m 的 ASCII 码 表示 为 

01100011 01101111 01101101 01110000 
O1110101 01110100 01100101 01110010 
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经 过 IP 置换 后 得 到 
Lo=11111111 10111000 01110110 01010111 
Ro=00000000 11111111 00000110 10000011 


2. 密 钥 置换 


相应 于 密 钥 K 的 ASCII 码 表示 为 
01110000 01110010 01101111 01100111 
01110010 01100001 01101101 
KK 只 有 56 位 ,必须 加 入 第 8,16,24,32,40,48,56,64 位 的 奇偶 校 验 位 构成 64 位 。 其 实 加 
入 的 8 位 奇偶 校 验 位 对 加 密 过 程 不 会 产生 影响 。 对 初始 密 钥 进行 的 置换 操作 如 表 5. 3 
所 示 。 
表 5.3 密 钥 置 换 
57 49 41 33 25 17 9 
1 58 50 42 34 26 18 
0 2 .59 51 3 35 27 
19 11 3 60 52 44 36 
63 55 47 39 31 23 15 
7 62 54 46 38 30 22 
14 6 61 53 45 37 29 
21 13 5 28 20 12 4 


密 钥 经 过 置换 后 得 到 
11101100 10011001 00011011 1011 
10110100 01011000 10001110 0110 
表 5.4 给 出 了 对 应 不 同 轮 数 产生 子 密 钥 时 具体 循环 左 移 的 位 数 。 由 表 5. 3, 第 一 轮 
加 密 要 循环 左 移 一 位 。 
表 5.4 每 轮 循环 左 移 的 位 数 
|4|s 6 7 | s 9 10|a|2|a|a4 15 | 16 


轮 数 1|2 
位 数 1|1 么 || 渤 省 光 2 2 | 2 1 加 本 酌 臣 2 | 1 


表 5.5 所 示 的 压缩 置换 给 出 了 从 56 位 密 钥 中 置换 选择 出 48 位 子 密 钥 的 过 程 。 例 
如 ,48 位 子 密 钥 的 第 1 位 数字 是 56 位 密 钥 的 第 14 位 密 钥 数字 ,48 位 子 密 钥 的 第 2 位 数 
字 是 56 位 密 钥 的 第 17 位 数字 ,以 此 类 推 。 我 们 可 以 发 现 ,56 位 的 密 钥 中 位 于 第 18 位 的 
密 钥 数字 在 输出 的 48 位 轮 密 钥 中 将 不 会 出 现 。 
从 循环 左 移 一 位 的 56 位 密 钥 中 选 出 48 位 作为 当前 加 密 的 轮 密 钥 ,我 们 得 到 48 位 的 
子 密 钥 
天 : =00111101 10001111 11001101 
00110111 00111111 01001000 
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3. 扩展 变换 
扩展 变换 将 输入 分 组 的 右 半 部 分 Re 从 32 位 扩展 到 48 位 。 表 5.6 给 出 了 扩展 变换 
中 输出 位 与 输入 位 的 对 应 关系 
表 5.6 扩展 置换 


例如 ,处 于 输入 分 组 中 第 3 位 的 数据 对 应 输出 序列 的 第 4 位 ,而 输入 分 组 中 第 21 位 
的 数据 则 分 别 对 应 输出 序列 的 第 30 位 和 第 32 位 。 
Ru 经 过 扩展 变换 得 到 的 48 位 序列 为 
Ro =10000000 00010111 11111110 
10000000 11010100 00000110 


4. 密 钥 异 或 运算 


将 Re 入, 进行 异 或 运算 ,得 到 的 结果 为 
R, ® Ki =10111101 10011000 00110011 
10110111 11101011 01001110 


5. S 盒 代 换 


表 5.7 列 出 了 所 有 8 个 S 盒 。 
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表 5.7 S 盒 
0 2 3 4 5 6 7 8 9 10 | 11|12|13|14|15 
由 最 4 13 1 2 15 | 11 8 3 10 6 12 5 9 0 人 
s, 1 0 15 人 4 14 2 13 ， 10 | 6 12 | 11 9 5 3 8 
2 4 1 14 8 13 6 2 11 | 15 | 12 9 7 3 10 5 0 
3|15| 12 2 4 5 WM 14 | 10 0 6 13 
0 | 15 1 14 6 11 3 9 dl 13 | 12 0 5 10 
s, 1 3 13 4 学 15 2 8 14 | 12 0 1 10 6 9 11 5 
2 0 14 4 11 | 10 13 5 8 12 6 9 3 2 15 
3 | 13 10 1 3 15 4 2 妨 6 7 12 0 5 14 9 
0 | 10 9 14 6 15 13 | 12 时 11 4 2 
s, 1 | 13 7 9 3 6 10 2 8 5 Ww | | | 
2 | 13 6 4 9 8 15 3 0 i 1 2 12 5 10 | 14 
3 10 | 13 0 6 9 8 4 15 | 14 3 11 5 2 12 
0 和 13 | 14 3 0 6 9 10 1 2 8 5 11 | 12 4 15 
s, 1 | 13 8 11 5 6 15 0 3 4 党 2 12 1 10 | 14 
2 | 10 6 9 0 12 | 11 7 13 | 15 3 14 5 2 8 
3 3 15 0 6 10 1 13 4 5 11 | 12 7 2 14 
0 2 12 4 1 7 10 | 11 5 3 15 | 13 0 14 9 
四 2 12 4 13 0 15 | 10 3 9 8 6 
本 2 4 2 I 11 | 10 | 13 7 8 15 9 12 5 6 3 0 14 
3 | 11 8 12 人 1 14 2 13 6 15 0 9 10 4 5 3 
0 | 12 1 10 | 15 9 2 6 8 13 3 4 14 7 5 i 
1 | 10 | 15 4 2 ? 12 9 5 13 | 14 0 11 3 8 
2 9 14 | 15 5 2 8 12 3 0 4 10 1 13 | 11 6 
3 4 3 2 12 9 5 15 | 10 | 11 | 14 7 6 0 8 13 
0 4 11 2 14 | 15 0 8 13 3 12 9 7 5 10 6 1 
1 | 13 0 11 7 4 9 10 | 14 3 5 12 2 15 8 6 
党 2 4 11 | 13 | 12 3 7 14 | 10 | 15 6 8 0 5 9 
3 6 11 | 13 8 1 4 10 时 9 5 0 15 | 14 2 3 12 
0 | 13 2 8 4 6 5 省 于 1 10 3 14 5 0 12 
s, 15 | 13 8 10 3 日 12 6 11 0 14 9 2 
2 11 4 1 9 12 | 14 0 10 | 13 | 15 3 5 
3 二 14 7 4 10 8 13 | 15 | 12 9 0 3 5 6 11 


将 与 密 钥 异 或 运算 得 到 的 结果 分 成 8 组 : 
101111 011001 100000 110011 
101101 111110 101101 001110 
对 于 101111 序列 ,第 1 位 和 最 后 一 位 组 合 构成 的 序列 为 11, 对 应 的 十 进 制 数 字 为 3， 
说 明 对 应 的 输出 序列 位 于 Si 的 第 3 行 ; 中 间 的 4 位 组 合 构成 的 序列 为 0111, 对 应 的 十 进 
制 数字 为 7, 说 明 对 应 的 输出 序列 位 于 Si 的 第 7 列 。Si; 的 第 3 行 第 7 列 处 的 数 是 7,7 对 
应 的 二 进 制 为 0111, 因 此 ,对 应 序列 110011 的 输出 序列 为 0111。 
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依次 对 其 余 7 个 6 位 序列 通过 其 余 7 个 S 盒 ,并 整理 得 到 32 位 的 分 组 为 
01110110 00110100 00100110 10100001 


6. P 盒 置换 


表 5.8 给 出 了 了 盒 署 换 的 具体 操作 。 
表 5.8 也 盒 置换 


16 7 20 21 


对 S 盒 代 换 的 输出 分 组 进行 忆 盒 置 换 , 得 到 
01000100 00100000 10011110 10011111 


7. 异 或 运算 


bi = 
R; = Li 四 FOR- Ki) 
将 上 述 /函数 的 计算 结果 与 L。 进行 异 或 运算 得 到 Ri ,并 由 上 Li 二 Ro ,得 到 经 过 第 1 
轮 加 密 的 结果 分 组 为 
Li=00000000 11111111 00000110 10000011 
Ri=10111011 10011000 11101000 11001000 
以 上 加 密 过 程 进行 16 轮 后 ,得 到 的 结果 分 组 为 
Lis=01010010 10011000 11000001 01011010 
Ris=11101000 10000011 01111000 01001100 
最 终 通过 末尾 置换 IP-: ,最 终 得 到 密 文 为 
00100100 01100001 00000010 10011011 
01011001 10001000 11001111 10110100 


5.1.3 ”DES 的 分 析 


自从 被 采用 作为 联邦 数据 加 密 标准 以 来 ,DES 遭 到 了 猛烈 的 批评 和 怀疑 。 首 先是 
DES 的 密 钥 长 度 是 56 位 ,很 多 人 担心 这 样 的 密 钥 长 度 不 足以 抵御 穷 举 式 搜索 攻击 ,因为 
密 钥 量 只 有 28% :107 个 。 早 在 1977 年 ,Diffie 和 Hellman 已 建议 制造 一 个 每 秒 能 测试 
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100 万 个 密 钥 的 VLSI 芯片 。 每 秒 测试 100 万 个 密 钥 的 机 器 大 约 需 要 一 天 就 可 以 搜索 整 
个 密 钥 空间 。 当 然 , 事 实 上 ,到 了 1999 年 1 月 RSA 数据 安全 会 议 期 间 , 电 子 前 沿 基金 会 
用 22hl5min 就 宣告 破解 了 一 个 DES 的 密 钥 。 

此 外 ,在 其 密 钥 空间 中 ,DES 存在 4 个 弱 密 钥 ,这 些 弱 密 钥 会 导致 每 一 轮 的 子 密 钥 都 
相同 ; DES 还 至 少 有 12 个 半 弱 密 钥 ,这 些 半 弱 密 钥 成 对 出 现 , 一 个 能 用 来 解密 男 一 个 密 
钥 加 密 的 消息 ,从 而 导致 它们 16 轮 加 密 不 是 产生 16 个 不 同 的 子 密 钥 ,而 是 产生 两 种 不 同 
的 子 密 钥 , 每 种 出 现 8 次。 以 此 类 推 ,DES 还 有 48 个 半 弱 密 钥 ,这 些 密 钥 在 16 轮 加 密 过 
程 中 ,只 产生 4 种子 密 钥 , 每 种 出 现 4 次 。 

其 次 是 DES 的 内 部 结构 即 S 盒 的 设计 标准 是 保密 的 ,这 样 使 用 者 无 法 确信 DES 的 
内 部 结构 不 存在 任何 潜在 的 弱点 。 后 来 的 实践 表明 ,DES 的 S 盒 被 精心 设计 成 能 够 防止 
诸如 差分 分 析 方法 类 型 的 攻击 。 另 外 ,DES 的 初始 方案 一 一 IBM 的 Lucifer 密码 系统 具 
有 128 位 的 密 钥 长 度 ,DES 的 最 初 方案 也 有 64 位 的 密 钥 长 度 ,但 是 后 来 公布 的 DES 算法 
将 其 减少 到 56 位 。IBM 声称 减少 的 原因 是 必须 在 密 钥 中 包含 8 位 奇偶 校 验 位 ,这 意味 
着 64 位 的 存储 只 能 包含 一 个 56 位 的 密 钥 。 

对 于 DES 的 攻击 ,最 有 意义 的 方法 是 差分 分 析 方 法 。 差 分 分 析 方法 最 初 是 由 IBM 
的 设计 小 组 在 1974 年 提出 的 。IBM 在 设计 DES 算法 的 S 盒 和 换 位 变换 时 有 意识 地 避免 
差分 分 析 攻 击 ,使 得 DES 能 够 抵抗 差分 分 析 攻 击 。1991 年 ,Biham 和 Shamir 提出 了 针对 
选择 明文 攻击 的 差分 分 析 方 法 ,可 以 攻击 很 多 分 组 密码 。 差 分 分 析 方法 需要 带 有 某 种 特 
性 的 明文 和 相应 的 密 文 之 间 的 比较 ,攻击 者 寻找 明文 对 应 的 某 种 差分 的 密 文 对 ,这 些 差 分 
中 的 一 部 分 会 有 较 高 的 重 现 概率 。 差 分 分 析 方 法 用 这 种 特征 来 计算 可 能 的 密 钥 概率 ,最 
后 可 以 确定 出 最 可 能 的 密 钥 。 但 是 由 于 DES 的 S 盒 在 设计 阶段 就 进行 了 优化 ,因此 它 能 
够 有 效 抵御 差分 分 析 攻 击 。 

DES 加 密 的 轮 数 对 安全 性 也 有 较 大 的 影响 。 如 果 DES 只 进行 8 轮 加 密 过 程 , 则 在 普 
通 的 个 人 电脑 上 只 需要 几 分 钟 就 可 以 破译 密码 。 如 果 DES 加 密 过 程 进行 16 轮 , 应 用 差 
分 分 析 攻 击 比 穷 举 式 搜索 攻击 稍微 有 效 一 些 。 然 而 如 果 DES 加 密 过 程 进 行 18 轮 , 则 差 
分 分 析 攻 击 和 穷 举 式 搜索 攻击 的 效率 基本 一 样 。 如 果 DES 加 密 过 程 进行 19 轮 , 则 穷 举 
式 搜索 攻击 的 效率 还 要 优 于 差分 分 析 攻 击 的 效率 。 

随 着 计算 机 硬件 技术 的 飞速 发 展 ,DES 的 安全 性 越 来 越 受 到 人 们 的 怀疑 。 为 了 提高 
DES 加 密 算法 的 安全 性 ,人 们 一 直 在 研究 改进 DES 算法 安全 性 能 的 方法 ,最 简单 的 改进 
算法 安全 性 的 方法 是 应 用 不 同 的 密 钥 对 同一 个 分 组 消息 进行 多 次 加 密 , 由 此 产生 了 多 重 
DES 加 密 算法 。 

最 简单 的 双重 DES 加 密 过 程 是 采用 两 个 不 同 的 密 钥 分 两 步 对 明文 分 组 消息 进行 加 
密 。 相 比 于 传统 的 DES 算法 ,这 种 改进 方案 的 密 钥 长 度 变 为 128 位 ,因此 算法 的 安全 性 
有 一 定 的 改进 。 由 Tuchman 提出 的 三 重 DES 算法 是 一 种 被 广泛 接受 的 改进 方法 。 该 方 
法 的 加 密 解 密 过 程 如 图 5.4 所 示 。 

在 该 加 密 算法 中 ,加 密 过 程 用 两 个 不 同 的 密 钥 K 和 开 。 对 一 个 分 组 消息 进行 3 次 
DES 加 密 。 首 先 使 用 第 一 个 密 钥 进行 DES 加 密 , 然 后 使 用 第 二 个 密 钥 对 第 一 次 的 结果 
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4_-| pEs 加 密 一 | DES 解 密 | DES 加 密 | 上 和 
Ki | 人 > tx 
(a) 3DES 加 密 
5 | pEs 解 窗 一 | DES 加 密 一 | DES 解 密 上 此 
本 tx tx 
(b) 3DES 解 密 


图 5.4 3DES 加 密 解密 


进行 DES 解密 ,最 后 再 使 用 第 一 个 密 钥 对 第 二 次 的 结果 进行 DES 加 密 。 使 用 两 个 密 钥 
的 三 重 DES 是 一 种 较 受 欢迎 的 改进 算法 ,目前 已 经 被 用 于 密 钥 管 理 标准 ANS X9. 17 和 
ISO 87322 中 。 


5.2 AES 


随 着 密码 破译 技术 和 计算 机 硬件 技术 的 飞速 发 展 ,考虑 到 人 们 对 加 密 算法 安全 性 的 
担忧 ,对 于 DES 算法 的 改进 工作 从 1997 年 就 开始 公开 进行 了 。 美 国标 准 技术 研究 所 
(NIST) 于 1997 年 4 月 正式 公告 下 一 代 的 加 密 标准 (advanced encryption standard,AES) 
的 征 选 。 制 定 AES 主要 的 目标 是 确保 资料 可 达到 100 年 的 安全 性 , 即 加 密 后 的 密 文 在 
100 年 内 不 会 被 破解 。 在 经 过 3 个 回合 技术 分 析 会 议 后 ,从 15 个 候选 算法 中 ,于 2000 年 
10 月 2 日 公开 选 定 由 比利时 J._ Daemen 与 V， Rijmen 两 位 学 者 所 设计 的 Rijndael 算法 
为 AES 所 用 。 

Rijndael 算法 除 具备 低 成 本 、 高 安全 性 特性 外 ,最 大 的 优点 在 于 : 即使 在 受 限 的 工作 
环境 下 ,如 较 小 的 内 存 空 间 中 , 仍 有 很 好 的 加 密 解密 运算 效率 ,而 且 容 易 抵抗 完全 搜寻 
攻击 ,如 此 便 能 保证 AES 可 有 和 较 长 的 安全 周期 。 在 经 过 一 连 串 的 公开 评论 与 测试 后 ， 
NIST 于 2001 年 11 月 26 日 发 布 FIPSPUB 197, 正 式 将 AES 定 为 美国 新 一 代 的 数据 加 
密 标 准 。 


5.2.1 AES 的 描述 


Rijndael 也 是 一 个 典型 的 迭代 型 分 组 密码 .而且 其 分 组 长 度 和 密 钥 长 度 都 可 变 , 分 组 
长 度 和 密 钥 长 度 可 以 独立 地 指定 为 128 位 、192 位 和 256 位 。 现 在 被 采用 的 AES 算法 的 
加 密 轮 数 依 赖 于 所 选择 的 子 密 钥 长 度 。 对 于 选择 128 位 的 密 钥 长 度 , 加 密 的 轮 数 为 10; 
对 于 选择 192 位 的 密 钥 长 度 , 加 密 的 轮 数 为 12; 对 于 选择 256 位 的 密 钥 长 度 , 加 密 的 轮 数 
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为 14。 加 密 过 程 是 将 如 图 5. 5 所 示 算 法 ,注意 最 后 一 轮 选 [ 读 入 明文 分 组 ] 
代 没 有 列 混合 ,其 他 各 轮 相 同 。 

AES 加 密 算法 的 执行 过 程 描述 如 下 : 读 入 密 钥 

Q@ 输入 长 度 为 128 位 、192 位 或 256 位 的 明文 分 组 ,将 
其 按照 一 定 的 规则 赋值 给 消息 矩阵 ,然后 将 对 应 的 轮 密 钥 
矩阵 与 消息 矩阵 进行 异 或 运算 。 

@ 在 加 密 算法 的 前 N 一 1 轮 中 ,每 一 轮 加 密 先 对 消息 
和 矩阵 进行 一 次 字 节 代 换 操作 ,然后 对 消息 矩阵 做 行 移 位 操 
作 ,接着 对 消息 矩阵 进行 列 混 合 操作 ,最 后 再 与 轮 密 钥 进行 
密 钥 异 或 运算 。 

@ 对 前 N 一 1 轮 加 密 的 结果 消息 矩阵 再 依次 进行 字 节 
代 换 操作 , 行 移 位 操作 和 与 轮 密 钥 进行 密 钥 异 或 运算 。 

@ 将 输出 的 结果 消息 矩阵 定义 为 密 文 。 

其 中 密 钥 异 或 运算 、. 字 节 代 换 操作 、 行 移 位 操作 和 列 混 
合 操作 也 被 称 为 AES 算法 的 内 部 函数 。 

上 述 操作 中 的 消息 矩阵 的 行 数 为 4。AES 中 的 操作 都 
是 以 字 节 为 对 象 的 ,操作 所 用 到 的 变量 是 由 一 定数 量 的 字 


节 构 成 。 对 于 输入 消息 长 度 是 128 位 的 明文 ,将 其 表示 为 字 节 代 换 
16 个 字 节 ,消息 矩阵 的 行 数 为 4, 因此 矩阵 列 数 也 为 4, 明文 用 | 
消息 依次 按 行 存储 在 4X4 的 消息 矩阵 中 。 轮 “| 行 移 位 
(1) 密 钥 异 或 运算 宗 了 
密 钥 异 或 运算 将 轮 密 钥 矩 阵 与 消息 矩阵 中 的 元 素 逐 字 密 钥 异 或 运算 
节 , 逐 位 地 进行 异 或 运算 。 其 中 轮 密 钥 和 矩阵 使 用 固定 的 密 
钥 编排 方案 产生 ,每 一 轮 的 轮 密 钥 矩 阵 是 不 同 的 。 密 文 


(2) 字 节 代 换 操作 

AES 算法 中 字 节 代 换 操作 相当 于 DES 算法 中 S 盒 的 
作用 ,该 操作 对 消息 矩阵 中 每 一 个 字 节 进行 一 个 非 线 性 代 换 ,由 于 代 换 矩阵 是 可 道 的 , 因 
此 字 节 代 换 操作 是 可 逆 的 。 

(3) 行 移 位 操作 

行 移 位 操作 在 消息 矩阵 的 每 行 上 进行 。 这 个 操作 的 运算 结果 实际 上 是 对 消息 矩阵 进 
行 一 个 简单 的 置换 操作 , 它 重 排 了 元 素 的 位 置 而 不 改变 元 素 本 身 的 值 ,所 以 该 操作 也 是 可 
道 的 。 

(4) 列 混合 操作 

列 混合 操作 对 消息 矩阵 的 每 一 列 进行 操作 。 该 操作 应 用 了 有 限 域 理论 中 的 知识 ,以 
保证 每 一 列 进行 的 变换 在 本 质 上 相当 于 是 一 个 使 用 已 知 密 钥 的 代 换 密码 。 因 此 ,该 操作 
也 是 可 道 的 。 

与 DES 算 法 相同 的 是 ,AES 算 法 的 解密 也 是 加 密 的 逆 过 程 ,由 于 AES 算 法 的 内 
部 函数 都 是 可 逆 的 ,因此 解密 过 程 仅 仅 是 将 密 文 作为 初始 输入 ,按照 各 轮 密 钥 相反 


图 5.5 Rijndael 算 法 流程 
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的 方向 对 输入 的 密 文 再 进行 加 密 的 过 程 ,该 过 程 加 密 的 最 终结 果 就 可 以 恢复 出 相应 
的 明文 。 


5.2.2 AES 的 分 析 


在 AES 算法 中 ,每 一 轮 加 密 常数 的 不 同 可 以 消除 可 能 产生 的 轮 密 钥 的 对 称 性 ,同时 ， 
轮 密 钥 生 成 算法 的 非 线 性 性 质 消 除了 产生 相同 轮 密 钥 的 可 能 性 。 

AES 的 安全 性 表现 在 : 

Q@ 对 密 钥 没有 任何 限制 ,不 存在 弱 密 钥 。 

@ 能 有 效 抵抗 目前 已 知 的 各 种 攻击 方法 ,如 差分 攻击 、 线 性 攻击 .平方 攻击 .插值 攻 
击 等 。 

@ 良好 的 理论 基础 使 设计 者 可 高 强度 地 隐藏 信息 。 

@ 关键 常数 的 巧妙 选择 使 计算 速率 可 达 1Gbit/s。 

@ 可 以 实现 MAC、Hash\ 同 步 流 密码 ,随机 数 生成 等 其 他 功能 。 

经 过 验证 ,目前 采用 的 AES 加 密 解 密 算法 能 够 有 效 抵御 已 知 的 针对 DES 的 所 有 攻 
击 方法 。 到 目前 为 止 ,公开 报道 中 对 于 AES 算法 所 能 采取 的 最 有 效 的 攻击 方法 只 能 是 穷 
举 式 搜索 攻击 ,所 以 AES 算法 是 安全 的 。Rijndael 目前 已 经 有 效 地 应 用 在 奔腾 机 、 智 能 
卡 .ATM 机 、B-ISDN、 卫 星 通信 等 方面 。 


5.3” 公 和 钥 密 码 的 基本 概念 


在 对 称 密码 体制 中 .加密 和 解密 都 需要 共享 一 个 密 钥 , 因 此 ,加 密 密 钥 是 整个 密码 通 
信 系统 的 核心 机 密 , 一 旦 加 密 密 钥 被 暴露 ,整个 密码 体制 也 就 失去 了 保密 作用 ,这 恐怕 是 
对 称 密码 体制 的 主要 弱点 。 于 是 ,在 一 次 密码 通信 开始 之 前 ,信息 的 发 送 方 必须 提前 把 所 
用 的 加 密 密 钥 ,经 过 特殊 的 秘密 渠道 ,如 信使 ,挂号 信 等 ,或 者 经 一 条 特殊 的 保密 通信 线路 
( 即 密 钥 信道 ) 送 到 信息 的 接收 方 。 但 是 经 特殊 的 密 钥 信道 分 配 加 密 密 钥 是 相当 困难 的 ， 
而 且 随 着 系统 用 户 的 增加 ,这 种 困难 程度 变 得 越 来 越 严重 。 

20 世纪 70 年 代 美国 学 者 Diffie 和 Hellman 以 及 以 色 列 学 者 Merkle 分 别 独立 提出 
了 一 种 全 新 的 密码 体制 的 概念 。 他 们 所 创造 的 新 的 密码 学 理论 突破 了 传统 密码 体制 对 称 
密 钥 的 概念 , 称 为 非 对 称 密码 体制 ( 公 钥 密码 体制 )。 公 钥 密 码 体制 与 传统 对 称 密码 体 
制 的 最 大 区 别 就 在 于 , 它 的 加 密 和 解密 不 是 使 用 同一 个 密 钥 和 算法 ,也 不 再 是 基于 代 
换 和 置换 这 两 个 基本 操作 的 。 它 使 用 在 数学 上 相关 的 两 个 密 钥 ,并 通过 用 其 中 一 个 密 
钥 加 密 的 明文 只 能 用 另 一 个 密 钥 进行 解密 的 方法 来 使 用 它们 。 通 常 , 其 中 一 个 密 钥 由 
个 人 秘密 持 有 ,因此 几乎 没有 必要 共享 密 钥 ,从 而 避免 了 对 安全 性 的 威胁 。 另 一 个 密 钥 ， 
即 所 谓 的 公 钥 ,需要 让 尽 可 能 多 的 人 知道 。Diffie 和 Hellman 建议 利用 计算 复杂 性 设计 
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加 密 算 法 ,在 他 们 提出 的 公 钥 设想 中 ,加 密 密 钥 是 公开 的 ,解密 密 钥 是 私密 的 , 公 钥 与 私 钥 
不 同 , 且 必 须 成 对 存在 ,并 有 一 一 对 应 的 数学 关系 ,而 且 由 公 钥 去 推导 私 钥 在 计算 上 是 不 
可 行 的 。 


5.3.1 Diffie-Hellman 算法 


Diffie-Hellman 算法 是 第 一 个 公 钥 算法 , 早 在 1976 年 就 发 明了 ,其 出 发 点 是 为 了 解 
决 对 称 密码 体制 中 两 个 用 户 间 共享 密 钥 的 交换 问题 ,所 以 又 把 它 称 为 Diffie-Hellman 密 
钥 交 换 协议 。 它 虽然 不 能 用 于 加 解密 消息 ,但 客观 上 已 走 入 了 公开 密 钥 的 大 门 。Diffie- 
Hellman 算法 的 保密 理念 正 是 基于 计算 复杂 性 ,其 安全 性 是 基于 数论 中 求解 离散 对 数 问 
题 的 困难 性 上 。 


1. 离散 对 数 问题 


设 户 为 一 个 大 素数 (比如 ,上 百 位 数 ) , 若 0x 二 p 和 0 三 5<p, 采 用 很 基本 的 算法 就 
可 以 求 出 y==6” mod p, 即 使 5 和 zz 也 是 上 百 位 数 。 

但 是 反 过 来 , 若 已 知 y 和 5, 求 y==b” mod p 中 的 ,这 是 一 个 十 分 困难 的 问题 ,只 有 
当 pp 为 小 素数 时 间 题 可 解 ,对 于 大 的 素数 ,目前 除了 采用 穷 举 法 依次 尝试 外 ,没有 更 加 有 
效 的 方法 。 需 要 注意 的 是 , 穷 举 法 并 不 是 一 个 有 效 的 方法 ,因为 如 果 z=10% ,从 如 尝 i 
到 六 ,这 显然 已 超出 了 当前 计算 机 计算 能 力 的 范围 。 


2. Diffie-Hellman 协议 描述 


对 于 系统 所 有 用 户 ,b 和 jp 均 为 已 知 ,用 户 Alice 和 Bob 要 进行 通信 ,按照 Diffie 和 
Hellman 设计 的 密 钥 交换 协议 ,他们 需 执行 以 下 步骤 : 

(1) 用 户 Alice 选 KA 为 私 钥 , 求 出 xs modz 为 公 钥 ,发 给 用 户 Bob。 

(2) 用 户 Bob 选 Ks 为 私 钥 , 求 出 bXs modp 为 公 钥 ,发 给 用 户 Alice。 

(3) 二 者 之 间 的 共享 密 钥 Ka.g 为 6*4'Ns modp,Alice 可 以 使 用 这 个 共享 密 钥 加 密 她 
发 送 给 Bob 的 消息 。 

图 5.6 给 出 了 Alice 和 Bob 得 到 通信 和 密 钥 的 过 程 。 

下 面 不 妨 通 过 一 个 例子 来 看 通信 双方 如 何 通过 此 协议 实现 共享 密 钥 的 。 

假设 p= 二 53,5 二 17 ,Ks 二 5,Ksg 二 7, 则 Alice 的 公 钥 为 175 mod 53 二 40,Bob 的 公 钥 为 
177 mod 53=6。 

Alice 要 得 到 共享 密 钥 , 需 计算 (bs)*smodp 二 (bs modp)xa modp 一 65 mod 53 二 38; 
同 理 ,Bob 计算 (xs )ss modp 一 (COxa modp)xs modp 一 407 mod 53 一 38。 

从 而 ,二 者 今后 的 通信 可 通过 共享 密 钥 KA.s 一 38 进行 。 而 其 他 用 户 , 由 于 没有 Alice 
或 Bob 的 私 钥 , 即 使 截获 了 二 者 的 公 钥 ,也 难以 计算 出 共享 密 钥 。 由 于 他 们 之 间 的 保密 
通信 还 是 通过 对 称 密码 体制 进行 的 ,因而 算法 本 身 不 是 公 钥 密码 意义 下 的 密码 。 
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Alice Bob 
Alice 产 生 自 己 的 Bob 产 生 自己 的 公 
公 钥 和 私 钥 钥 和 私 钥 
Aice 鸭 ， 全 ANCE 
寻 公 多 2 本 人 时 绩 
Alice Bo Boo 让 Bob 自 
自己 
己 的 
的 私 
钥 私 钥 
1 
Alice 用 自己 的 私 Bob 用 自己 的 私 钥 
钥 和 Bob 的 公 钥 计 和 Alice 的 公 钥 计 
算出 通信 密 钥 算出 通信 密 钥 
J Alice 和 Bob 拥 有 
了 共享 的 通信 密 


钥 ， 可 进行 通信 


图 5.6 Diffie-Hellman 协议 工作 过 程 


5.3.2 公 钥 密码 体制 加 密 解密 的 原理 


公 钥 密码 体制 的 实现 ,从 思路 上 与 前 面 的 Diffie-Hellman 协议 非常 相似 ,加 密 系 统 不 
仅 可 以 把 加 密 算法 公开 ,并 且 把 一 对 密 钥 中 的 一 把 公开 , 才 换 来 了 功能 上 的 增加 与 使 用 上 
的 方便 。 而 之 所 以 敢于 将 之 公开 ,是 因为 解密 所 用 算法 并 非 加 密 的 道 运算 ,解密 所 用 密 钥 
也 不 同 于 加 密 所 用 的 密 钥 , 而 且 二 者 不 可 互相 推导 。 

作为 一 个 密码 体制 ,无 论 传统 对 称 密码 体制 还 是 公 钥 密码 体制 ,解密 和 加 密 的 效果 一 
定 应 当 是 互 逆 的 ,通过 解密 应 得 到 与 原来 的 明文 相同 的 译文 。 一 般 来 说 ,解密 应 当 用 加 密 
的 道 运算 实现 ,传统 密码 体制 就 是 这 么 做 的 。 然 而 , 抛 开 逆 运 算 的 定式 看 问题 ,逻辑 上 并 
不 排除 存在 其 他 算法 也 能 得 到 正确 的 译文 。 至 于 密 钥 , 它 只 是 加 密 、 解 密 运算 过 程 中 的 一 
些 关键 数据 ,没有 理由 认为 参与 加 密 运算 的 密 钥 和 参与 解密 运算 的 密 钥 必须 相同 。 当 然 ， 
加 密 密 钥 与 解密 密 钥 既然 是 配对 的 ,那么 总 应 当 存在 某 种 内 在 的 联系 ,实际 上 也 确实 如 
此 。 不 过 只 要 这 种 内 在 联系 涉及 复杂 度 很 高 的 运算 ,就 可 以 认为 它们 是 无 法 相互 推导 的 。 
于 是 ,问题 又 回 到 了 数学 上 ,能 和 否 找到 这 样 的 算法 和 密 钥 呢 ? 

数学 上 存在 一 种 单 向 陷 门 函数 /, 它 有 下 列 性 质 : 

Q@ 对 于 每 个 zxEX, 计 算 y= 二 f(z) 是 容易 的 , 正 是 因为 这 一 点 ,加 密 运 算 才 是 简单 可 
行 的 。 
@ 明知 y 与 x 是 一 一 对 应 ,但 由 给 定 的 y 难以 求 出 zx, 其 道 运算 z= 广 !(y) 十 分 复 
杂 , 这 样 的 函数 三 被 称 为 单 向 函数 。 正 是 因为 这 一 点 ,系统 也 才 敢 于 公开 加 密 算法 。 即 
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使 公开 了 算法 ,也 难以 在 有 限时 间 内 计算 出 逆 运 算 结 果 , 系 统 安全 性 才 有 了 保障 。 

@ 对 于 某 些 特殊 的 单 向 函数 (不 是 所 有 的 单 向 函数 ) ,车 附加 一 点 相应 的 “ 陷 门 信息 
&”, 则 存在 另 一 个 能 算出 z 的 方法 : z==f(y)。fi(y) 不 同 于 广 !(y) ,但 它 却 可 以 容易 地 
算出 z; 求解 这 个 问题 的 关键 数据 k 就 是 密 钥 。 正 是 因为 这 一 点 ,掌握 密 钥 的 合法 用 户 
才能 容易 地 正确 破译 密 文 。 

数学 中 确实 存在 不 少 着 运算 非常 复杂 的 单 向 函数 ,如 大 数 的 分 解 因数 .离散 对 数 等 ， 
这 是 构造 公 钥 密码 系统 的 必要 条 件 。 但 是 还 必须 设法 引入 “ 陷 门 ”, 目 前 已 找到 多 种 单 向 
陷 门 函数 ,设计 出 多 种 公 钥 密码 体制 ,如 RSA 密码 体制 等 。 


5.3.3 公 钥 密码 体制 的 特点 


根据 算法 复杂 性 理论 ,算法 运行 时 间 同 输入 规模 的 关系 为 多 项 式 及 低 于 多 项 式 的 算 
法 都 称 为 可 解 问题 (P 类 ) ,而 将 超过 多 项 式 的 算法 都 称 为 难 解 问题 (如 NP 类 、NPC 类 
等 )。 如 果 已 经 证 明了 某 种 密码 体制 的 加 密 是 P 类 问题 ,而 其 破译 是 NP 类 问题 , 则 对 规 
模 较 大 的 使 用 该 密码 体制 的 系统 ,任何 现代 的 计算 设备 都 不 可 能 在 允许 的 时 间 内 将 其 破 
译 ,因此 它 是 安全 的 。 公 钥 密 码 体制 正 是 利用 这 个 思想 。 

(1) 基于 算法 的 复杂 性 

传统 密码 系统 的 安全 性 依赖 于 对 算法 的 保密 ,一 旦 算法 失 密 ,攻击 者 就 可 以 用 它 的 逆 
运算 来 破译 密码 系统 。 公 钥 密 码 学 则 是 利用 逆 运 算 复杂 度 非常 高 的 单 向 算法 来 构建 密码 
系统 ,因而 不 必 担 心算 法 失 密 。 

(2) 算法 的 可 公开 性 

由 于 算法 的 复杂 性 完全 能 够 通过 数学 理论 科学 地 预测 ,只 要 该 算法 复杂 到 不 可 行 的 
程度 ,即使 公开 了 算法 ,也 难以 在 有 限时 间 内 计算 出 逆 运 算 结 果 。 因 此 , 公 钥 密码 学 认为 
只 有 根据 算法 的 复杂 性 建立 起 来 的 密码 系统 ,其 安全 性 才 是 坚固 可 信 的 。 算 法 公开 后 ,可 
以 让 它 在 攻击 中 不 断 完 善 和 改进 ,并 以 此 显示 其 安全 的 坚固 性 。 

(3) 安全 的 相对 性 

即使 破译 的 工作 量 取决 于 算法 的 复杂 度 ,在 科学 技术 高 度 发 展 的 今天 ,我 们 仍 应 充分 
估计 破译 者 的 计算 能 力 和 计算 技术 未 来 的 发 展 。 从 这 个 意义 讲 , 不 存在 永远 牢 不 可 破 的 
密码 ,只 存在 当前 阶段 与 需求 相 适 应 的 安全 密码 系统 ,破译 只 是 时 间 和 人 金钱 的 问题 。 但 是 
如 果 破 译 工作 所 花 的 代价 大 于 秘密 本 身 的 价值 ,或 破译 花费 的 时 间 大 于 秘密 的 有 效 期 , 则 
破译 失去 意义 , 则 该 密码 系统 就 可 以 认为 是 相对 安全 的 。 不 求 绝对 安全 求 相对 安全 是 密 
码 设 计 理 念 上 的 又 一 个 转变 。 

(4) 密 钥 的 机 密 性 

算法 公开 了 ,合法 用 户 与 非法 用 户 的 区 别 在 哪里 呢 ? 合法 用 户 拥有 密 钥 , 解 译 密 文 十 
分 容易 ; 非法 用 户 没有 密 钥 ,破译 密 文 则 很 不 容易 。 这 是 因为 如 果 攻 击 者 用 遍历 法 一 个 
个 去 尝试 密 钥 ,假设 每 尝试 一 个 密 钥 需要 1s, 则 遍历 160 位 长 的 所 有 密 钥 需要 21%s, 约 
1040 年 。 只 要 密 钥 具有 足够 的 长 度 与 随机 性 ,偶然 猜 中 密 钥 的 概率 是 极 小 的 。 保 守 密 钥 
的 机 密 要 比 隐藏 算法 的 机 密 容易 得 多 ,也 安全 得 多 。 况 且 密 钥 是 可 以 随时 更 换 的 ,万 一 暴 
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露 了 密 钥 ,可 以 换 一 把 ,不 致 造成 整个 系统 的 破坏 。 


5.4 RSA 公 钥 密码 


在 Diffie 和 Hellman 提出 公 钥 设想 后 的 1977 年 ,美国 麻 省 理工 学 院 的 Rivest、 
Shamir 和 Adleman 联合 提出 了 称 为 RSA( 即 三 人 姓氏 的 首 字母 ) 的 公 钥 密码 体制 。 该 密 
码 体制 基 于 数论 中 的 欧 拉 定理 ,其 安全 性 依赖 于 大 整数 因子 分 解 的 困难 性 。RSA 公 钥 密 
人 码 是 第 一 个 实用 的 、 同 时 也 是 流行 至 今 的 最 典型 的 公 钥 算 法 。 


5.4.1 RSA 加 密 解 密 原理 


1. 欧 拉 定 理 


对 整数 ,如 果 我 们 用 B(xm) 表 示 欧 拉 数 , 即 比 mm 小 且 与 mm 互 素 的 正 整数 的 个 数 , 欧 

拉 定理 告诉 我 们 , 当 整 数 与 六 互 素 时 ,有 
ae (m)mod m=1 

这 是 因为 ,如 果 令 k==@(m) ,并 设 这 和 个 与 六 互 素 的 正 整 数 为 51 ,5;,… ,bi, 则 由 a 与 
mm 互 素 ,所 以 ab ab, ,ap 也 都 与 六 互 素 并 且 两 两 不 等 ,因而 对 任意 ab ,存在 6b; 使 得 
api mod m 二 b; mod m, 因 此 

(abi) (ap ) (ab mod m=b bob mod m 

由 如 ba…b4 与 m 互 素 , 两 边 可 同时 约 去 bbs…b4 ,从 而 得 到 


a mod mm 二 1]， 即 a?(m)mod m=1 
2. RSA 密码 体制 


RSA 密码 体制 建立 密 钥 的 步骤 如 下 : 
@ 选择 两 个 足够 大 并 且 位 数 差不多 的 素数 p 和 g,p 和 g 必须 保密 ; 
@ 计 算 n=pg 和 5(z) ,显然 ,此 处 GO) 一 (一 1)(q 一 1) .2 是 公 钥 的 一 部 分 ,但 
$B(n) 要 保密 ; 
@ 随机 选择 一 个 整数 e, 使 得 e 与 8(n) 互 素 ,e 也 是 公 钥 的 一 部 分 ; 
@ 计算 整数 4d 满足 ed mod B(n) 二 1,d 为 私 钥 , 必 须 保密 。 
得 到 公 钥 (n,e) 和 私 钥 d 后 ,RSA 的 加 密 过 程 就 是 一 个 指数 加 密 。 先 将 明文 数字 化 
并 进行 分 组 ,分 组 的 长 度 小 于 的 位 数 。 设 明文 分 组 为 m, 加 密 密 文 为 C, 则 加 密 变 换 函 
数 为 
C=E(m)=m’* mod n 
解密 同样 是 一 个 指数 运算 ,解密 变换 函数 为 
m=D(C)=C mod 7 
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3. RSA 密码 原理 分 析 


RSA 密码 体制 所 采用 的 加 密 过 程 是 一 个 指数 加 密 , 其 道 运 算 为 m 二 Vin 十 C, 开 e 次 
方 的 运算 本 身 已 经 十 分 复杂 , 且 由 于 4 的 不 确定 ,所 以 它 是 一 个 单 向 函数 。 
对 任意 整数 km 与 n 互 素 , 则 mt 仍 与 n 互 素 ,由 欧 拉 定理 
(m*)B(n)mod n=1 
于 是 ， 


12242009+1 mod n=m 


所 以 ,为 了 解密 ,我们 需要 d 满足 ed mod $B(n) 二 1, 并 得 到 解密 算法 : 


‘Wt mod n=m mod n 


C=m" mod n=m 
即 
D(C)=C* modn 
这 里 ,(n,e) 为 公 钥 , 任 何人 都 可 以 用 此 公 钥 加 密 消息 ,只 有 掌握 了 私 钥 a 的 合法 用 户 
才 可 以 进行 解密 。 
为 安全 起 见 ,pq 和 @(n) 在 完成 设计 后 都 可 销毁 。 由 p 和 4g 求解 的 运算 简单 易 
行 ,但 由 分 解 出 p 和 g ,至今 没 有 找到 多 项 式 时 间 复 杂 度 的 算法 。 若 无 法 分 解 出 p 和 g， 
则 也 无 法 求 出 B(n) 和 d, 从 而 保证 了 RSA 加 密 的 安全 性 。 
让 我 们 考察 下 面 的 使 用 RSA 算法 的 实例 。 
设 明 文 为 Hi, 公 和 钥 为 (253,139)。 
该 消息 的 两 个 字母 的 十 进 制 ASCII 码 表示 为 72 和 105, 使 用 公 钥 对 它们 进行 加 密 
721 mod 253 一 2 
105’ mod 253 = 101 
从 而 密 文 为 数 对 (2,101)。 对 于 这 样 小 的 ,我 们 很 容易 分 解 出 n= 二 11X23, 从 而 可 以 计算 
出 B(n) 二 220, 然 后 根据 ed mod 220 二 1, 可 以 求解 出 d= 二 19, 从 而 可 以 用 来 解密 
2* mod 253 = 72 
101” mod 253 = 105 
从 而 可 恢复 出 明文 消息 。 因 此 ,实际 应 用 中 不 可 能 选择 这 样 小 的 素数 。 


5.4.2 RSA 的 参数 选择 


在 实现 RSA 密码 体制 的 过 程 中 ,有 一 些 问 题 是 必须 考虑 的 ,比如 ,随机 选择 了 e, 如 
何 得 到 d, 这 个 问题 可 以 用 我 们 前 面 提 到 的 欧 几 里 得 算法 来 求解 。 但 是 我 们 对 快速 的 加 
密 解密 、e 的 选择 、p 和 g 的 选择 还 有 一 些 要 求 。 


1. 指数 运算 


当 p、g、nve 等 参数 确定 后 ,要 实现 明文 的 加 密 , 需 要 进行 大 量 的 指数 运算 。 比 如 , 求 
1 342 775%3” mod 2153。 看 上 去 最 简单 的 方法 是 ,将 1 342 775 自 乘 4337 次 ,然后 再 对 
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2153 求 余 数 。 然 而 这 种 方法 用 手工 是 不 可 能 完成 的 ,如 果 用 计算 机 ,我 们 需要 考虑 的 一 
个 问题 是 ,乘积 越 来 越 大 ,如 何 安排 空间 来 存储 中 间 结 果 , 而 且 , 即 使 这 样 ,算出 结果 也 是 
比较 慢 的 。 

一 个 改进 的 方法 是 ,每 进行 一 次 乘法 ,就 求 一 次 余数 ,从 而 可 以 省 去 存储 空间 的 考虑 。 
而 且 , 这 种 方法 可 行 的 一 个 原因 是 

ab modn =(a modz)( mod n) 

事实 上 ,我 们 还 可 以 采用 更 加 有 效 的 方法 来 完成 指数 运算 。 

比如 ,计算 5 ,我 们 无 需 将 5 自 乘 8 次 ,我 们 先 算 5 ,然后 算 (5:)?, 即 5 ,然后 再 算 
(54)2 即 可 。 

再 如 ,计算 72 ,由 于 23 三 16 十 4 十 2 十 1 ,我 们 可 以 计算 75X74X72X7。 

一 般 地 ,将 每 次 乘 后 求 余 和 重复 平方 两 种 方法 结合 起 来 ,可 以 有 效 的 提高 指数 运算 的 
效率 。 


2. 素数 的 选择 


由 前 面 ,我 们 已 经 看 到 ,p 和 g 要 选择 尽 可 能 大 的 素数 。RSA 密码 体制 的 创始 人 建 
议 ,p 和 g 为 100 位 以 上 的 十 进 制 数 ,这 样 可 以 使 得 nn 达到 200 位 以 上 ,从 而 的 分 解 在 
当前 最 先进 的 计算 机 上 用 最 高 效 的 算法 也 要 相当 长 的 时 间 。 但是, 我们 首先 得 能 选择 出 
来 这 样 的 100 位 以 上 的 素数 。 

由 数论 中 的 定理 ,素数 有 无 限 多 个 。 并 且 , 还 有 定理 指出 ,对 正 整 数 N, 小 于 N 的 素 


数 数目 约 为 Ej。 所 以 当 N 足够 大 时 ,素数 还 是 很 多 的 。 


但 是 对 于 随机 选择 的 一 个 上 百 位 的 十 进 制 数 ,我 们 怎么 确定 它 是 一 个 素数 呢 ? 比如 
31597( 这 个 数 太 小 ,此 处 仅 作为 示例 ) ,算术 中 的 基本 知识 告诉 我 们 , 它 如 果 有 因子 , 必 有 
小 于 其 平方 根 177.75545 的 因子 ,我们 可 以 从 2 到 177 依次 用 它们 去 除 31597 ,通过 看 是 
否 整除 以 检测 它 是 否 是 素数 。 但 这 对 于 100 位 以 上 这 样 大 的 素数 ,需要 检测 的 次 数 也 达 
到 了 10” 以 上 , 仍 是 非常 巨大 的 。 

数论 中 的 费 马 小 定理 给 出 了 一 种 验证 素数 的 方法 ,该 定理 指出 : 如 果 p 是 一 个 素数 ， 
则 对 于 1a=p 的 任意 整数 a ,ao 入 : mod p 二 1。 该 定理 其 实 可 以 看 作 是 欧 拉 定 理 的 一 个 
推论 ,因为 对 于 素数 p,@(p) 二 p 一 1。 

让 我 们 看 一 下 费 马 小 定理 的 一 些 实例 。 

比如 ,25( 一 64) mod 7 王 1,38( 一 59 049 二 5368 X11 十 1) mod 11 一 1。 

但 是 该 定理 只 是 说 明 , 如 果 p 是 素数 的 话 , 它 满足 这 样 的 定理 ,但 反之 却 不 一 定 成 
立 。 比 如 3”mod 91 王 1, 而 91 王 13X7 是 一 个 伪 素数 ; 再 如 ,561 二 3X11X17, 但 它 能 通 
过 所 有 与 561 互 素 整数 的 检测 。 

由 上 我 们 可 以 得 知 , 费 马 小 定理 只 是 验证 素数 的 必要 条 件 ,而 非 充分 条 件 。 


3. p 和 9 值 的 要 求 


为 保证 RSA 加 密 的 安全 ,p 和 g 不 仅 要 上 百 位 ,而 且 二 者 的 值 不 能 太 接 近 ,也 不 能 相 
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差 太 大 ,一般 选择 二 者 相差 几 比 特 。 

如 果 二 者 相差 太 小 , 则 由 

(p+g)’—(p—g)’=4 pg=4n 
可 得 
(p+q)’—4n=(p—qg)’ 

是 一 个 小 的 平方 数 , 所 以 (p 十 gq)/2 与 Vn 近似 。 令 二 (pp 十 g)/2,v 二 (p 一 q)/2, 可 以 从 大 
于 Vn 的 整数 依次 尝试 x 且 w== Vw 一 n ,从 而 解 出 pp 与 gq。 

如 果 二 者 之 差 很 大 , 则 其 中 一 个 必然 较 小 ,那么 可 以 从 一 个 小 的 素数 开始 依次 尝试 ， 
最 终 分 解 n。 

4. 公 钥 e 的 选择 公 钥 

e 首先 要 与 值 B8(n) 互 素 ,这 是 非常 明显 的 ,否则 无 法 计算 私 钥 4。 此 外 ,e 不 能 太 小 。 
因为 如 果 e 太 小 , 则 对 于 较 小 的 明文 m, 可 以 直接 得 到 密 文 C= 二 m* mod ”而 不 需要 实际 经 
过 模 运 算 ,这样 由 C 开 e 次 方 即 可 得 明文 m 。 

5. 私 钥 d 的 选择 

虽然 选择 好 了 e,d 的 值 是 唯一 确定 的 ,但 是 私 钥 d 也 不 能 太 小 ,即便 d 小 了 有 利于 
解密 的 速度 。 因 为 如 果 d 太 小 了 ,破解 者 可 以 用 穷 举 法 发 动 已 知 明文 攻击 ,以 获得 m, 他 
从 某 个 正 整 数 开始 依次 尝试 ,直接 找 出 一 个 数 4 满足 C' mod n 二 m, 那 么 这 个 1 就 是 解密 
密 钥 d。 

因此 ,根据 1990 年 Wiener 的 证 明 , 最 好 d 宇 Vn, 如果 d 太 小 , 则 需要 重新 选择 公 钥 e。 


6. p 和 9 的 重复 利用 


本 来 对 于 上 百 位 的 素数 ,两 个 密 钥 设 计 者 选择 相同 的 p 和 g 的 概率 是 相当 低 的 。 但 
是 如 果 某 个 密 钥 设计 者 在 好 不 容易 找到 了 两 个 较 大 的 素数 p 和 g, 并 求 得 了 nn 和 (Cn) 
后 , 想 利 用 它们 来 多 设 定 几 组 公 钥 和 私 钥 (e,d) ,就 可 能 会 引起 不 安全 因素 。 
比如 ,对 同一 明文 m 
Ci 一 ma modn, C=m’*? modn 
如 果 这 里 ee 和 es 互 素 , 即 满足 te: 十 sez 王 1, 则 
CiC=m"im’ 一 e+sz =m mod n 


这 样 一 来 ,无 需 私 钥 ,就 得 到 了 明文 。 
5.4.3 RSA 的 安全 性 
RSA 的 安全 性 是 基于 大 整数 进行 因子 分 解 的 复杂 性 的 。 若 n 二 pg 被 因子 分 解 , 则 


RSA 即 被 攻破 。 因 为 车 分 解 得 到 p 和 9g, 则 可 以 求 得 B(n) ,由 公 钥 e 也 不 难 求 得 私 钥 d 。 
但 现在 面临 的 问题 是 ,迄今 为 止 还 没有 证 明 大 整数 因子 分 解 问题 是 一 类 NP 问题 。 
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为 了 抵抗 穷 举 攻击 ,RSA 算法 采用 了 大 密 钥 空间 , 表 5. 9 列举 了 对 不 同 长 度 密 钥 进 
行 因子 分 解 所 需要 的 计算 时 间 。 
表 5.9 分 解 不 同 长 度 密 钥 所 需 时 间 


密 钥 长 度 /位 每 秒 执行 一 百 万 次 指令 的 机 器 所 需 年 数 
116 400 

129 5000 

512 30 000 

768 200 000 000 

1024 300 000 000 000 

2048 300 000 000 000 000 000 000 


需要 注意 的 是 , 表 5. 9 所 列 的 是 单机 所 需 的 执行 时 间 , 并 且 是 以 百 万 次 计算 机 的 计算 
能 力 来 测算 的 。 虽然 目前 还 没有 找到 分 解 大 整数 的 非常 有 效 方法 ,但 随 着 人 们 计算 能 力 
的 不 断 提 高 和 计算 成 本 的 不 断 降低 ,许多 被 认为 是 不 可 能 分 解 的 大 整数 已 被 成 功 分 解 。 
1977 年 Rivest 曾 为 破译 129 位 的 RSA 密码 系统 悬赏 100 美元 ,结果 1994 年 4 月 Derek 
Atkins 宣布 成 功 破译 ,分 解 出 一 个 64 位 和 一 个 65 位 的 因子 。 该 工作 是 用 二 次 得 法 完成 
分 解 的 ,并 且 动 用 了 43 国 600 多 名 志愿 者 利用 空闲 时 间 使 用 1600 台 计 算 机 通过 互联 网 
分 布 式 计 算 联 合 工作 , 耗 时 8 个 月 才 完 成 。1996 年 4 月 ,130 位 的 RSA 密码 系统 也 被 用 
数 域 得 法 攻破 ,完成 该 工作 使 用 了 300 台 工 作 站 及 PC 和 一 台 超 级 计算 机 ,花费 了 7 个 月 
时 间 。 这 些 结果 说 明 512bit 的 RSA 密码 系统 也 不 够 安全 。 尽 管 如 此 ,密码 专家 们 认为 
一 定时 期 内 1024 一 2048bit 的 RSA 还 是 相对 安全 的 。 

同时 ,我 们 还 应 看 到 ,为 了 保证 系统 安全 ,通常 我 们 会 将 n 取得 很 大 ,而 且 e 和 d 也 会 
取 为 非常 大 的 正 整 数 ,但 这 样 做 的 一 个 明显 缺点 是 , 密 钥 产 生 和 加 密 解密 过 程 都 非常 复 
杂 , 系 统 运行 速度 比较 慢 。 

除了 对 RSA 算法 本 身 的 攻击 外 ,RSA 算法 还 面临 着 攻击 者 对 密码 协议 的 攻击 , 即 利 
用 RSA 算法 的 某 些 特性 和 实现 过 程 对 其 进行 攻击 ,但 是 都 还 不 能 对 RSA 构成 有 效 威胁 ， 
因此 可 以 认为 ,只 要 合理 的 选择 参数 正确 的 使 用 ,RSA 就 是 安全 的 。 


5.5 ElGamal 密码 


除了 RSA, 还 有 很 多 种 公 钥 密码 体制 ,这 其 中 EIGamal 算法 也 是 一 种 具有 广泛 应 用 
的 公 钥 密码 体制 , 它 的 安全 性 也 是 基于 计算 离散 对 数 问题 的 困难 性 。 该 算法 在 1985 年 由 
ElGamal 提出 。 


5.5.1 ElGamal 加 密 解 密 原理 


在 前 面 介绍 Diffie-Hellman 算法 时 ,已 经 介绍 过 离散 对 数 问题 ,为 了 将 之 应 用 于 公 钥 
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密码 体制 的 设计 中 ,我 们 还 需要 介绍 数论 中 的 一 些 概念 。 
1. 基本 概念 


对 于 素数 和 整数 0 二 a 二 p ,满足 a’ mod p= 二 1 的 最 小 正 整数 上 称 为 元 素 a 在 模 p 下 
的 阶 。 由 前 面 介 绍 的 费 马 小 定理 可 知 ,这 样 的 1 一定 存在 ,因为 至 少 有 a*! mod /一 1。 
如 果 a 模 p 的 阶 就 是 p 一 1, 则 称 a 是 p 的 原 根 。 

车 a 是 素数 p 的 原 根 ,那么 a mod pp,az mod p,，…,a* ! mod p 互 不 相同 , 且 正 好 产生 
集合 {1,2,…,p 一 1) 的 所 有 值 。 因 为 车 有 0<=i<j<p 的 i 和 j 使 得 a’ mod p==a’ mod p， 
则 ai7T'mod p 二 1, 这 与 a 模 p 的 阶 是 p 一 1 矛盾 。 因 此 ,对 于 任意 5€11,2,…,p 一 1) ,一 
定 存在 唯一 的 TE {1,2,…,p 一 1) 满足 6 二 a* mod p。 

这 正好 满足 了 加 密 函 数 必须 是 一 一 对 应 的 要 求 ,ElGamal 正 是 基于 此 设计 的 加 密 
方法 。 


2. ElGamal 密码 体制 


ElGamal 密码 体制 建立 密 钥 的 步 又 如 下 : 

J@ 选择 足够 大 的 素数 ,为 了 使 基于 离散 对 数 问题 的 公 钥 密码 算法 具有 足够 的 安全 
性 ,一 般 要 求 素数 p 长 度 在 150 位 以 上 ; 

@ 选择 p 的 一 个 原 根 a 和 一 个 整数 d ,d 是 私 钥 , 必 需 保 密 ; 

@ 计算 0=ad mod p, 公 钥 即 (p,a,0b)。 

得 到 公 和 钥 (p,a,b) 和 私 钥 d 后 ,ElGamal 密码 的 加 密 过 程 如 下 : 

@ 先 将 明文 数字 化 并 进行 分 组 , 设 明 文 分 组 为 m, 要 求 m 的 长 度 小 于 p 的 位 数 ; 

@ 选择 随机 数 尺 ,计算 r= 二 a* mod p; 

@ 计 算 1=Wm mod p; 

@ 密 文 C 即 (xr,w), 因 此 密 文 的 长 度 是 明文 的 两 倍 。 

ElGamal 密码 的 解密 只 需 计算 tr-*mod p 即 可 ,因为 

tr mod p=(bm mod p)(a* mod pp) mod p=a* m (a *)mod p=m mod p。 

考察 下 面 的 使 用 ElGamal 算法 的 实例 。 

设 p==2579, 取 a==2, 私 钥 d==765。 计 算 

0 一 ad mod p 一 275 mod 2579 一 949 
如 果 明 文 消息 m 二 1299 ,选择 随机 数 4 一 853 ,那么 可 计算 出 密 文 : 
r=a* modp = 2 mod 2579 = 435 
t=bm mod p= 1299 X 949% mod 2579 = 2396 
因此 , 密 文 是 (435,2396)。 
对 密 文 进行 解密 变换 ,可 计算 出 明文 m: 
m= tr™ mod p= 2396 X (435’5)"! mod 2579 = 1299 

由 于 密 文 不 仅 取决 于 明文 .还 依赖 于 加 密 者 每 次 选择 的 随机 数 &, 因 此 ElGamal 公 角 
体制 是 非 确定 性 的 ,同一 明文 多 次 加 密 得 到 的 密 文 可 能 不 同 , 同 一 明文 最 多 会 有 多 达 
Zp 一 1 个 不 同 的 密 文 。 
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5.5.2 ”ElGamal 算法 的 安全 性 


ElGamal 算法 的 安全 性 基于 离散 对 数 问 题 的 困难 性 。 有 学 者 曾 提 出 由 素数 p 生成 的 
离散 对 数 密码 可 能 存在 陷 门 ,一 些 “ 弱 ”素数 p 下 的 离散 对 数 较 容易 求解 。 因 此 ,要 仔细 
地 选择 p, 且 保证 a 应 是 p 的 原 根 。 此 外 ,为 了 抵抗 已 知 的 攻击 ,p 不 仅 要 求 是 较 大 的 素 
数 , 并 且 p 一 1 应 该 至 少 有 一 个 较 大 的 素数 因子 。 

ElGamal 算法 的 安全 性 还 来 自 于 加 密 的 不 确定 性 。ElGamal 算法 的 一 个 显著 特征 是 
在 加 密 过 程 中 引入 了 随机 数 , 这 意味 着 相同 的 明文 可 能 产生 不 同 的 密 文 ,能 够 给 密码 分 析 
者 制造 更 大 的 困难 。 

但 在 某 些 情况 下 ,ElGamal 算法 也 可 能 向 攻击 者 泄露 部 分 信息 。 比 如 在 实际 应 用 中 ， 
为 了 简便 ,加 密 者 每 次 都 使 用 相同 的 k, 那 么 对 使 用 该 的 消息 而 言 ,r 是 相同 的 ,因此 攻 
击 者 若 知 道 了 其 中 一 个 的 明文 ,就 可 以 求 得 其 他 明文 。 

此 外 ,在 应 用 ElGamal 算法 ,特别 是 推广 的 ElGamal 算法 的 时 候 还 要 注意 原 根 a 的 
选择 ,确保 每 一 个 可 能 的 明文 消息 m 都 能 表示 为 m 二 a 的 形式 。 


习题 


1. 现代 密码 通常 是 由 几 个 古典 密码 技术 结合 起 来 构造 的 。 试 在 DES 算法 中 找 出 采 
用 了 以 下 两 种 古典 密码 技术 的 部 分 : (1) 代 换 密码 ; (2) 置 换 密码 。 

2. 试 述 Feistel 分 组 密码 的 结构 。 

3. 什么 是 雪崩 原则 ? 

4. 试 举例 说 明 分 组 密码 的 工作 模式 。 

5. 请 给 出 下 列 序列 经 过 S 盒 后 的 输出 序列 : 

100110,010011,1010101,001110。 

6. 设 已 知 DES 算法 中 明文 消息 mx 和 密 钥 K 分 别 如 下 : 

m=0011 1000 1101 0101 1011 1000 0100 0010 
1101 0101 0011 1001 1001 0101 1110 0111 

K=1010 1011 0011 0100 1000 ”0110 1001 0100 
1101 1001 0111 0011 1010 0010 1101 0011 

试 计算 加 密 过 程 中 的 LC 和 R, 。 

7. 如 果 明 文 消息 为 computer, 密 钥 为 security, 试 计算 最 终 的 加 密 结果 。 

8. 简 述 公 钥 密码 系统 的 一 般 定义 。 

9. 什么 是 单 向 陷 门 函数 ? 如 何 将 其 应 用 于 公 钥 密码 系统 的 设计 ? 

10. 简 述 公 钥 密码 系统 相对 单 钥 密码 系统 的 优势 。 

11. 简 述 RSA 算法 的 理论 基础 。 
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12. 利用 下 列 数据 实现 RSA 算法 的 加 密 和 解密 : 

(1) p=7,g=11,e=17,m=8,。 

(2) p=11,g=13,e=11,m=7。 

13. 假设 字符 编码 机 制 为 : A 王 1.B 王 2,…,Z 一 26。 若 明文 字符 为 F,RSA 中 , 取 
e 一 5,d 一 77,2 一 119, 求 加 密 后 的 密 文 。 并 验证 解密 后 能 得 到 的 明文 F。 

14. 使 用 RSA 密码 体制 的 系统 ,已 知 密 文 C 王 10, 该 用 户 公 钥 e 王 5, 一 35, 明 文 M 
等 于 多 少 ? 

15. 使 用 RSA 密码 体制 的 系统 ,已 知 x 一 2 548 903 037,@(n) 二 2548 792 896 , 试 分 解 
n= pgq。 

16. 找 出 模 13 的 全 体 原 根 。 

17. 利用 下 列 数据 实现 EIGamal 算法 的 加 密 和 解密 : 

(1) p=97,4=5,6=44,k=36,m=3。 

(2) p=71,4a=7,6=3,k=23,m=13。 

18. 使 用 ElGamal 密码 体制 的 系统 ,车 已 知 p= 二 97,a 二 11,6 二 3, 车 明文 m= 二 53 对 应 
的 密 文 是 (70,C) , 试 确定 C。 使 用 ElIGamal 密码 体制 的 系统 ,车 已 知 p= 二 31 847,a 一 5， 
d 二 7899,6 二 18 074, 试 解密 密 文 (3781,14 409)。 


密 钥 管理 技术 


密码 技术 的 核心 思想 是 利用 加 密 手段 把 对 大 量 数据 的 保护 归结 为 对 若干 核心 参数 的 
保护 。 现 代 密 码 学 认为 密码 系统 中 最 关键 的 核心 参数 是 各 种 密 钥 ,安全 应 当 只 取决 于 密 
钥 的 安全 ,而 不 取决 于 密码 算法 的 保密 。 在 安全 的 通信 系统 中 , 选 定 了 加 密 算 法 之 后 , 利 
用 加 密 手 段 对 大 量 数据 的 保护 归结 为 对 密 钥 的 保护 ,而 不 是 对 算法 或 硬件 的 保护 。 密 钥 
是 加 密 算法 中 的 可 变 部 分 ,一 旦 密 钥 丢失 或 出 错 , 不 但 合法 用 户 不 能 获取 信息 ,而 且 可 能 
使 非法 用 户 窃取 信息 ,因此 ,通信 系统 中 密 钥 的 管理 对 保证 系统 的 安全 性 、 发 挥 密码 的 安 
全 作用 起 着 至 关 重 要 的 作用 。 

密 钥 管理 是 处 理 密 钥 自 产 生 至 最 终 销毁 整个 过 程 中 的 有 关 问题 ,包括 密 钥 的 产生 、 存 
储 、 备 份 , 分 配 、 更 新 与 撤销 等 。 密 钥 管 理 方法 实质 上 因 所 使 用 的 密码 系统 (对 称 密码 系统 
和 公 钥 密码 系统 ) 而 异 ,所 有 的 这 些 工作 都 围绕 一 个 宗旨 , 即 确保 使 用 中 的 密码 是 安全 的 。 
密 钥 管理 的 目的 是 确保 系统 中 各 种 密 钥 的 安全 性 不 受 威胁 , 密 钥 管 理 除了 技术 因素 以 外 ， 
还 与 人 的 因素 密切 相关 ,不 可 避免 地 要 涉及 诸如 物理 的 ,行政 的 、 人 事 的 等 其 他 方面 问题 ， 
但 我 们 最 关心 的 还 是 理论 和 技术 上 的 一 些 问题 。 


6.1 密 钥 的 分 类 


在 一 个 通信 系统 中 ,数据 将 在 多 个 参与 者 之 间 传递 ,要 保证 通信 的 安全 ,就 需要 大 量 
的 密 钥 , 密 钥 的 存储 和 管理 变 得 十 分 复杂 和 困难 。 不 论 是 对 于 系统 、 普 通用 户 还 是 网 络 互 
连 的 中 间 节 点 ,需要 保密 的 内 容 的 秘密 层次 和 等 级 是 不 相同 的 ,要求 也 是 不 一 样 的 ,因此 ， 
密 钥 种 类 各 不 相同 。 

按照 加 密 的 内 容 不 同 ,系统 中 的 密 钥 可 以 分 为 以 下 三 种 。 

(1) 会 话 密 钥 

会 话 密 钥 (session key) , 指 相互 通信 的 双方 在 一 次 通话 或 交换 数据 时 真正 使 用 的 密 
钥 。 它 是 通信 系统 中 密 钥 层次 的 最 低层 , 仅 在 临时 的 通话 或 交换 数据 时 使 用 。 会 话 密 钥 
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车 用 来 对 传输 的 数据 进行 保护 时 , 称 为 数据 加 密 密 钥 ; 若 用 作 保 护 文 件 , 则 称 为 文件 密 
钥 ; 若 供 通信 双方 专用 , 则 称 为 专用 密 钥 。 

会 话 密 钥 可 由 通信 双方 协商 得 到 ,也 可 由 密 钥 分 配 中 心 (key distribution center， 
KDC) 分 配 。 由 于 会 话 密 钥 大 多 是 动态 的 ,考虑 到 对 称 密 钥 和 公开 密 钥 的 处 理 速度 ,会话 
密 钥 普遍 采用 的 是 对 称 密 钥 。 

由 于 会 话 密 钥 的 临时 性 ,即使 密 钥 丢失 ,因为 加 密 的 数据 有 限 ,损失 也 有 限 。 并 且 , 由 
于 会 话 密 钥 使 用 时 间 较 短 , 这 样 就 限制 了 攻击 者 能 够 截获 的 同一 密 钥 加 密 的 密 文 数量 , 增 
加 了 密码 分 析 的 难度 ,有 利于 数据 安全 。 

会 话 密 钥 只 有 在 需要 时 才 通 过 协议 取得 ,用 完 后 就 丢掉 ,从 而 可 降低 密 钥 的 分 配 存 储 
量 。 会 话 密 钥 可 以 使 用 户 不 必 频 繁 地 更 换 主 密 钥 等 其 他 密 钥 ,有 利于 密 钥 的 安全 和 管理 。 

(2) 密 钥 加 密 密 钥 

密 钥 加 密 密 钥 (key encryption key) 用 于 对 传输 中 的 会 话 密 钥 或 其 他 密 钥 进行 加 密 
保护 的 密 钥 ,也 称 为 密 钥 传 送 密 钥 。 在 通信 网 络 中 ,每 一 个 节点 都 分 配 有 一 个 这 样 的 密 
钥 ,而 且 , 每 个 节点 到 其 他 各 节点 的 密 钥 加 密 密 钥 是 不 同 的 ,但 是 ,任意 两 个 节点 间 的 密 铀 
加 密 密 钥 却 是 相同 的 .共享 的 ,这 是 整个 系统 预先 分 配 和 内 置 的 。 

在 使 用 公 钥 密码 系统 的 通信 系统 中 ,所 有 用 户 都 拥有 公 钥 - 私 钥 对 。 如 果 用 户 间 要 进 
行 数据 传输 ,协商 一 个 会 话 密 钥 是 必要 的 ,会 话 密 钥 的 传递 可 以 用 接收 方 的 公 钥 加 密 来 进 
行 ,接收 方 用 自己 的 私 钥 解密 ,从 而 安全 获得 会 话 密 钥 , 再 利用 它 进行 数据 加 密 并 发 送 给 
接收 方 。 

在 这 种 系统 中 , 密 钥 加 密 密 钥 就 是 建 有 公 钥 密码 基础 的 用 户 的 公 

密 钥 加 密 密 钥 是 为 了 保证 两 节点 间 安 全 传递 会 话 密 钥 或 下 层 密 钥 而 设置 的 ,处 在 密 
钥 管理 的 中 间 层 。 

(3) 主 密 钥 

主 密 钥 位 于 密码 系统 中 整个 密 钥 层 次 的 最 高 层 , 主 要 用 于 对 密 钥 加 密 密 钥 会话 密 钥 
或 其 他 下 层 密 钥 的 保护 。 主 密 钥 是 由 用 户 选 定 或 系统 分 配给 用 户 的 ,通常 不 受 密 钥 学 手 
段 保护 ,分 发 基于 物理 渠道 或 其 他 可 靠 的 方法 ,处 于 加 密 控制 的 上 层 ,一 般 存 在 于 网 络 中 
心 、 主 节点 、 主 处 理 器 中 ,通过 物理 或 电子 隔离 的 方式 受到 严格 的 保护 。 在 某 种 程度 上 , 主 


密 钥 可 以 起 到 标识 用 户 的 作用 。 宇宙 名 
从 密 钥 使 用 的 时 间 长 短 来 看 ,上 述 三 种 密 钥 中 ,会 话 密 钥 
定 是 短期 密 钥 , 主 密 钥 的 使 用 期 限 一 般 较 长 ,而 密 钥 加 密 密 钥 可 1 


能 是 长 期 有 效 的 ,也 可 能 是 暂时 的 。 密 钥 的 这 种 分 层 结构 使 每 一 | _ 密 角 加 密 密 钥 
个 密 钥 使 用 的 次 数 都 不 太 多 ,同一 密 钥 产生 的 密 文 数量 不 太 大 ， 
能 被 密码 分 析 者 利用 的 信息 较 少 ,有 利于 系统 的 安全 。 攻 击 者 。 [及 靖宇 
不 可 能 动摇 整个 密码 系统 ,从 而 有 效 地 保证 了 密码 系统 的 安 
全 性 。 图 6.1 密 铀 管理 的 


概括 地 讲 , 密 钥 管理 的 层次 结构 如 图 6. 1 所 示 。 层次 结构 
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6.2 密 钥 的 产生 、 存 储 和 备份 


密 钥 管 理 的 目的 是 方便 密 钥 的 安全 使 用 。 通 常情 况 下 , 密 钥 在 其 有 效 期 之 内 都 可 以 
使 用 ,但 密 钥 的 产生 存储 和 备份 也 存在 一 些 需要 注意 的 问题 。 


6.2.1 密 钥 的 产生 


不 同 的 密码 系统 ,其 密 钥 的 具体 产生 方法 一 般 是 不 相同 的 。 一 个 用 户 可 以 生成 自己 
的 密 钥 ,也 可 以 从 可 信 的 密 钥 分 配 中 心 处 获取 密 钥 。 

密码 算法 的 安全 性 依赖 于 密 钥 。 密 钥 的 产生 首先 必须 考虑 具体 密码 系统 公认 的 限 
制 ,对 于 某 些 弱 的 密 钥 ,由 于 它 容 易 被 破译 ,如 果 采 用 了 一 个 弱 的 密 钥 产生 方法 ,那么 整个 
系统 都 将 是 弱 的 。 为 了 避免 产生 弱 的 密 钥 ,应 该 遵循 以 下 原则 。 

(1) 增加 密 钥 空间 

因为 对 密码 系统 最 基本 的 攻击 方法 是 穷 举 法 ,所 以 如 果 没 有 其 他 已 知 因素 , 穷 举 法 需 
要 对 每 一 个 可 能 的 密 钥 进行 尝试 ,尝试 的 次 数 与 密 钥 长 度 呈 指数 关系 。 因 此 , 密 钥 越 长 ， 
密 钥 空 间 就 越 大 ,使 用 穷 举 法 攻击 的 难度 就 越 大 。 在 任何 密 钥 产 生 的 过 程 中 ,都 应 该 避免 
减少 密 钥 空间 。 

例如 ,DES 有 56 位 长 度 的 密 钥 ,正常 情况 下 任何 一 个 56 位 的 数据 串 都 能 成 为 密 钥 ,所 
以 共有 2” 种 可 能 的 密 钥 。 如 果 减 少 DES 的 密 钥 长 度 , 就 会 大 大 降低 DES 的 攻击 难度 。 

(2) 避免 选择 具有 明显 特征 的 密 钥 

为 了 记忆 上 的 方便 ,人 们 常常 喜欢 选择 自己 的 名 字 、 生 日 .身份 证 号 等 具有 明显 特征 
的 密 钥 , 这 是 非常 危险 的 选择 。 聪 明 的 穷 举 攻击 并 不 按照 数字 顺序 去 试探 所 有 可 能 的 密 
钥 ,它们 首先 尝试 最 可 能 的 密 钥 ,这 就 是 所 谓 的 字典 攻击 ,攻击 者 使 用 一 本 公用 的 密 钥 字 
典 , 它 列 出 那些 最 有 可 能 的 密 钥 , 先 从 这 些 密 钥 开始 尝试 。 

据 调 查 ,用 这 样 的 系统 能 够 破译 一 般 计 算 机 上 40% 的 口令 。 

(3) 随机 选择 密 钥 

一 个 好 的 密 钥 ,要 保证 密 钥 产生 的 随机 性 ,如 果 密 钥 为 64 位 长 ,那么 每 一 个 可 能 的 
64 位 密 钥 必须 具有 相等 可 能 性 。 这 些 密 钥 要 么 从 可 靠 的 随机 源 中 产生 ,要 么 从 安全 的 伪 
随机 数 生成 器 中 产生 。 

密 钥 的 产生 就 是 按照 上 述 规则 ,采用 可 行 的 措施 和 机 制 产 生 符合 应 用 目标 或 算法 属 
性 要 求 的 .并 具有 可 预见 概率 的 、 伪 随机 的 有 效 密 钥 。 


6.2.2 密 钥 的 存储 


密 钥 存 储 时 必须 保证 密 钥 的 机 密 性 ` 认 证 性 完整 性 ` 防 止 泄露 和 修改 。 
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单 用 户 的 密 钥 存储 是 密 钥 存储 问题 中 最 简单 的 情况 ,因为 只 涉及 一 个 用 户 , 且 只 有 该 
用 户 一 个 人 对 密 钥 负责 。 某 些 系统 也 采用 这 种 简单 的 方法 : 密 钥 存放 于 用 户 的 脑子 中 ， 
而 决 不 放 在 系统 中 ,用 户 只 需 记 住 密 钥 ,并 在 需要 对 文件 加 密 或 解密 时 输入 。 

但 是 ,一 般 系 统 是 不 采用 通过 人 的 记忆 来 存储 和 保护 密 钥 的 。 密 钥 数据 的 存储 ,不 同 
于 一 般 的 数据 , 它 需 要 保密 存储 。 保 密 存储 有 两 种 方法 : 一 种 方法 是 基于 密 钥 的 软 保护 ; 
男 一 种 方法 是 基于 硬件 的 物理 保护 。 软 保护 使 用 加 密 算法 对 密 钥 (包括 口令 ) 进 行 加 密 ， 
然后 密 钥 以 密 文 形式 存储 。 例 如 ,用 户 可 以 将 一 个 RSA 私 钥 用 DES 密 钥 加 密 后 存在 磁 
盘 上 ,要 恢复 密 钥 时 ,用 户 只 需 把 DES 密 钥 输入 到 解密 程序 中 即 可 。 物 理 保护 则 是 将 密 
钥 存储 于 与 计算 机 相 分离 的 某 种 物理 设备 (如 智能 卡 `USB 盘 或 其 他 存储 设备 ) 中 ,以 实 
现 密 钥 的 物理 隔离 保护 。 例 如 ,用 户 先 将 物理 设备 插入 加 密 箱 或 连 在 计算 机 终端 上 的 特 
殊 读 入 装置 中 ,然后 把 密 钥 输 入 到 系统 中 。 当 用 户 使 用 时 ,他 并 不 知道 这 个 密 钥 ,也 不 能 
泄露 它 ,而 只 能 用 这 种 方法 使 用 它 。 

最 理想 的 情况 是 密 钥 永远 也 不 会 以 未 加 密 的 形式 暴露 在 加 密 设施 以 外 ,虽然 这 终究 
是 不 可 能 的 ,但 是 可 以 将 此 作为 一 个 非常 有 价值 的 奋斗 目标 。 


6.2.3 密 钥 的 备份 


密 钥 的 备份 是 非常 有 意义 的 ,在 密 钥 主管 发 生意 外 的 情况 下 , 密 钥 备份 可 以 方便 地 恢 
复 加 密 的 信息 ,否则 加 密 的 信息 就 会 永远 丢失 了 。 

备份 密 钥 有 多 种 方法 ,最 简单 的 方法 是 密 钥 托管 。 这 种 方法 要 求 所 有 用 户 将 自己 的 
密 钥 写 下 来 交 给 系统 安全 员 ,由 安全 员 将 密 钥 文件 锁 在 某 个 地 方 的 保险 柜 里 (或 用 主 密 钥 
对 它们 进行 加 密 )。 这 里 的 前 提 是 安全 员 不 会 滥用 任何 人 的 密 钥 。 更 重要 的 是 ,所 有 用 户 
都 必须 相信 安全 员 不 会 滥用 他 们 的 密 钥 。 

另 一 种 方法 是 , 当 某 用 户 产 生 密 钥 时 ,他 将 密 钥 分 成 若干 片 ,然后 ,把 每 片 加 密 后 发 给 
不 同 的 安全 员 或 其 他 用 户 ,单独 的 任何 一 片 都 不 是 密 钥 ,这 就 对 任何 恶意 者 做 了 防备 ,也 
对 由 于 意外 事故 引起 的 数据 丢失 做 了 预防 。 或 者 ,他 可 以 用 其 他 一 些 用 户 的 不 同 的 公开 
密 钥 把 不 同 的 片段 加 密 ,然后 存 人 自己 的 硬盘 之 中 。 这 样 在 需要 使 用 密 钥 之 前 ,请 相应 那 
些 用户 解 开 对 应 的 一 个 片段 ,再 将 它们 组 合 起 来 。 这 就 是 所 谓 的 秘密 共享 ,将 在 6. 5 节 详 
细 介 绍 。 

还 有 一 个 备份 方案 是 借用 密 钥 存储 的 方法 ,用 智能 卡 作 为 临时 密 钥 托管 。 

更 一 般 的 密 钥 托管 是 指 , 密 钥 由 所 信任 的 委托 人 持 有 ,委托 人 可 以 是 政府 、 法 院 或 有 
契约 的 私人 组 织 。 一 个 密 钥 也 可 能 在 数 个 这 样 的 委托 人 中 分 拆 。 授 权 机 构 可 通过 适当 的 
程序 (如 获得 法 院 的 许可 ) ,从 数 个 委托 人 手中 恢复 密 钥 。 

1993 年 4 月 ,美国 政府 为 了 满足 其 电信 安全 、 公 众 安全 和 国家 安全 ,提出 了 托管 加 密 
标准 (escrowed encryption standard,EES) ,该 标准 所 使 用 的 托管 技术 不 仅 提 供 了 强加 密 
功能 ,而 且 也 为 政府 机 构 提 供 了 实施 法 律 授权 下 的 监听 。EES 于 1994 年 2 月 正式 被 美 
国政 府 公布 采用 ,该 标准 的 核心 是 一 个 称 为 Clipper 的 防 窜 扰 芯片 , 它 是 由 美国 国家 安全 
局 (NSA) 主持 开发 的 软 、 硬 件 实现 密码 部 件 。 
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6.3 密 钥 的 分 配 


密 钥 分 配 是 密 钥 管理 工作 中 最 为 困难 的 环节 之 一 。 密 钥 分 配 研究 密码 系统 中 密 钥 的 
分 发 和 传送 中 的 规则 及 约定 等 问题 。 

根据 分 配 密 钥 途 径 的 不 同 , 密 钥 的 分 配方 法 可 分 为 网 外 分 配方 式 和 网 内 分 配方 式 。 

网 外 分 配方 式 即 人 工 途径 方式 , 它 不 通过 计算 机 网 络 , 是 一 种 人 工分 配 密 钥 的 方法 。 
这 种 方式 适合 小 型 网 络 及 用 户 相 对 较 少 的 系统 ,或 者 安全 强度 要 求 较 高 的 系统 。 网 外 分 
配方 式 的 最 大 优点 是 安全 、 可 靠 ; 缺点 是 分 配 成 本 过 高 。 密 钥 传送 遇 到 的 最 大 风险 是 在 
传送 过 程 中 , 它 可 能 要 与 系统 外 界 接触 。 比 如 ,需要 Alice 和 Bob 采用 对 称 加 密 算法 进行 
保密 通信 ,他 们 需要 同一 个 密 钥 。 假 设 Alice 产生 密 钥 后 ,要 将 密 钥 安 全 地 送 给 Bob。 如 
果 Alice 能 在 某 个 地 方 碰见 Bob ,就 将 密 钥 副 本 直接 交 给 他 ,否则 就 容易 出 问题 。 公 开 密 
钥 用 最 少 的 预先 安排 可 以 很 好 地 解决 这 个 问题 ,但 是 这 一 技术 并 不 总 是 有 效 。 某 些 系 统 
使 用 被 公认 安全 的 备用 信道 ,Alice 可 以 通过 一 个 可 靠 的 通信 员 把 密 钥 传送 给 Bob ,也 可 
以 用 合格 的 邮政 或 传递 业务 来 传送 。 或 者 , Alice 可 能 同 Bob 一 起 建立 另 一 个 希望 无 人 
穷 听 的 通信 信道 。 对 密 钥 分 发 问题 的 另 一 个 解决 方法 是 将 密 钥 分 成 许多 不 同 的 部 分 , 然 
后 用 不 同 的 信道 发 送出 去 。 有 的 通过 电话 ,有 的 通过 邮寄 ,有 的 还 可 以 通过 专递 或 信和 侧 传 
书 等 。 即 使 截获 者 能 收集 到 密 钥 ,但 缺少 某 一 部 分 ,他 仍然 不 知道 密 钥 是 什么 ,所 以 该 方 
法 可 以 用 于 除 个 别 特殊 情况 外 的 任何 场合 。 它 使 得 用 户 Alice 甚至 可 以 用 秘密 共享 方 
案 , 允 许 Bob 在 传输 过 程 丢失 部 分 密 钥 时 能 重 构 完 整 密 钥 。 

网 内 分 配方 式 指 通 过 计算 机 网 络 进行 密 钥 的 分 配 , 这 是 我 们 关心 的 重点 。 按 照 分 配 
密 钥 性 质 的 不 同 , 密 钥 的 分 配方 法 也 可 以 分 为 对 称 密 钥 的 分 配 、 公 开 密 钥 的 分 配 。 


6.3.1 对 称 密 钥 的 分 配 


在 对 称 密码 系统 下 ,两 个 用 户 要 进行 保密 通信 ,首先 必须 有 一 个 共享 的 会 话 密 钥 。 同 
时 ,为 了 避免 攻击 者 获得 密 钥 ,还 必须 时 常 更 新 会 话 密 钥 。 对 称 密码 系统 密 钥 分 配 的 基本 
方法 主要 有 以 下 几 种 : 

(1) 由 通信 双方 中 的 一 方 选取 并 用 手工 方式 发 送 给 另 一 方 ; 

(2) 由 双方 信任 的 第 三 方 选 取 并 用 手工 方式 发 送 给 通信 的 双方 ; 

(3) 如 果 双 方 之 间 已 经 存在 一 个 共享 密 钥 , 则 其 中 一 方 选取 新 密 钥 后 可 用 已 共享 的 
密 钥 加 密 新 密 钥 ,然后 通过 网 络 发 送 给 另 一 方 ; 

(4) 如 果 双 方 与 信任 的 第 三 方 之 间 分 别 有 一 共 享 密 钥 ,那么 可 由 信任 的 第 三 方 选取 
一 个 密 钥 并 通过 各 自 的 共享 密 钥 加 密 发 送 给 双方 。 

前 两 种 方法 是 手工 操作 ,前 面 已 介绍 过 。 后 两 种 方法 是 网 络 环境 下 经 常 使 用 的 密 钥 
分 配方 法 ,由 于 可 以 通过 网 络 自动 或 者 半自动 地 实现 ,因此 能 够 满足 网 络 用 户 数量 巨大 的 
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需求 。 特 别 是 第 四 种 方法 ,由 于 存在 一 个 双方 都 信任 的 第 三 方 ( 称 为 可 信 第 三 方 ) ,因此 只 
要 双方 分 别 与 这 个 可 信 第 三 方 建立 共享 密 钥 ,就 无 须 再 两 两 建立 共享 密 钥 ,从 而 大 大 减少 
了 必需 的 共享 密 钥 数 量 , 降 低 了 密 钥 分 配 的 代价 。 这 样 的 可 信 第 三 方 通常 就 是 我 们 所 说 
的 专门 负责 为 用 户 分 配 密 钥 的 密 钥 分 配 中 心 KDC。 在 这 样 的 背景 下 ,系统 的 每 个 用 户 
(主机 、 应 用 程序 或 者 进程 ) 与 KDC 建立 一 个 共享 密 钥 , 即 主 密 钥 。 当 某 两 个 用 户 需要 进 
行 保密 通信 时 ,可 以 请 求 KDC 利用 各 自 的 主 密 钥 为 他 们 分 配 一 个 共享 密 钥 作为 会 话 密 
钥 、 加 密 密 钥 或 者 直接 作为 会 话 密 钥 (如 果 是 前 者 , 则 再 使 用 上 述 第 三 种 方法 建立 会 话 密 
钥 )。 一 次 通信 完成 后 ,会 话 密 钥 立 即 作 废 ,而 主 密 钥 的 数量 与 用 户 数 量 相同 ,可 以 通过 更 
安全 的 方式 甚至 手工 方式 配置 。 

在 下 文中 ,我 们 用 XY: K(2Z) 表 示 实 体 X 向 实体 Y 发 送 了 一 条 用 密 钥 K 加 密 的 消 
息 Z。 若 出 现 多 个 密 钥 时 ,我 们 用 Ks 或 Ks 等 分 别 表示 密 钥 的 归属 。 此 外 ,符号 a b 表 
示 将 位 串 a 和 位 串 b 连接 在 一 起 。 假 定 通信 双方 Alice 和 Bob, 简 称 为 A 和 B, 分 别 与 
KDC 有 一 个 共享 主 密 钥 KA 和 Ks ,现在 A 希望 与 B 建立 一 个 连接 进行 保密 通信 ,那么 可 
以 通过 以 下 两 种 处 理 方 式 分 配 共 享 的 会 话 密 钥 : 

(1) 会 话 密 钥 由 通信 发 起 方 Alice 产生 

具体 步骤 如 下 : 

第 一 步 , A 一 KDC: KACKs | IDa) 。 

当 A 与 B 要 进行 通话 时 ,A 随机 地 选择 一 个 会 话 密 钥 Ks 和 希望 建立 通信 的 对 象 
IDs ,用 KK。 加密, 然后 发 送 给 KDC。 

第 二 步 : KDC-~B: KaCKs | IDA)。 

KDC 收 到 后 ,用 Ka 解密 ,获得 A 所 选择 的 会 话 密 钥 Ks 和 A 希望 与 之 建立 通信 的 
对 象 IDs ,然后 用 Ks 加 密 这 个 会 话 密 钥 和 希望 与 B 建立 通信 的 对 象 IDA ,并 发 送 给 B。 

第 三 步 : B 收 到 后 ,用 Ks 解密 ,从 而 获得 A 要 与 自己 通信 和 A 所 确定 的 会 话 密 
钥 Ks。 

这 样 ,会 话 密 钥 协商 Ks 成 功 ,A 和 B 就 可 以 用 它 进 行 保密 通信 了 。 

(2) 会 话 密 钥 由 KDC 产生 

具体 步骤 如 下 

第 一 步 ; A 一 KDC: (IDA | IDa) 。 

当 A 希望 与 B 进行 保密 通信 时 , 它 先 给 KDC 发 送 一 条 请 求 消息 表明 自己 想 与 B 
通信 。 

第 二 步 ; KDC~A: KA(CKs ‖ IDa);，KDC-~>B: Ks(Ks || IDA)。 

KDC 收 到 这 个 请 求 后 ,就 临时 产生 一 个 会 话 密 钥 Ks ,并 将 B 的 身份 和 所 产生 的 这 个 
会 话 密 钥 一 起 用 开 A 加 密 后 传送 给 A。 同 时 ,KDC 将 A 的 身份 和 刚才 所 产生 的 这 个 会 话 
密 钥 Ks 用 Ks 加 密 后 传送 给 B, 告 诉 B 有 A 希望 与 之 通信 且 所 用 的 密 钥 就 是 Ks。 

第 三 步 : A 收 到 后 ,用 Ka 解密 ,获得 B 的 身份 及 KDC 所 确定 的 会 话 密 钥 Ks; B 收 
到 后 ,用 Ks 解密 ,获得 A 的 身份 及 KDC 所 确定 的 会 话 密 钥 Ks。 

这 样 ,A 和 B 就 可 以 用 会 话 密 钥 Ks 进行 保密 通信 了 。 当 然 ,A 和 B 也 可 以 把 Ks 做 
会 话 密 钥 的 加 密 密 钥 ,自行 协商 和 更 新 会 话 密 钥 ,以 减少 同一 个 会 话 密 钥 产 生 的 密 文 量 ， 
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降低 会 话 密 钥 被 攻击 的 风险 。 

在 上 面 这 个 简单 例子 中 ,通信 双方 在 KDC 的 帮助 下 安全 地 共享 了 一 个 会 话 密 钥 Ks， 
由 于 在 需要 保密 的 环节 均 使 用 相应 的 密 钥 进 行 保护 ,因此 避免 了 机 密 信息 的 泄露 和 假冒 ， 
它 是 许多 复杂 协议 的 基础 。 


6.3.2 公开 密 钥 的 分 配 


在 公开 密 钥 密码 体制 中 ,公开 密 钥 是 公开 的 ,私有 密 钥 是 保密 的 。 在 这 种 密码 体制 
中 ,公开 密 钥 似乎 像 电 话 号 码 簿 那样 可 以 公开 查询 ,其 实 不 然 。 一 方面 , 密 钥 更 换 、 增 加 和 
删除 的 频 度 是 很 高 的 ; 另 一 方面 ,如 果 公 开 密 钥 被 自 改 或 替换 , 则 公开 密 钥 的 安全 性 就 得 
不 到 保证 ,公开 密 钥 同样 需要 保护 。 此 外 ,公开 密 钥 相当 长 ,不 可 能 靠 人 工 方式 进行 管理 
和 使 用 ,因此 ,需要 密码 系统 采取 适当 的 方式 进行 管理 。 

公开 密 钥 分 配 主要 有 以 下 4 种 形式 。 

(1) 公开 分 发 

由 于 公 钥 密码 系统 的 公开 密 钥 无 需 加 密 ,因此 任何 用 户 都 可 以 将 自己 的 公开 密 钥 发 
送 给 其 他 用 户 或 者 进行 广播 公布 。 该 方法 的 优点 是 非常 简便 ,分 发 不 需要 特别 的 安全 渠 
道 , 从 而 降低 了 管理 成 本 ; 然而 其 致命 的 缺点 是 ,发 布 的 公开 密 钥 的 真实 性 和 完整 性 难以 
保证 ,可 能 出 现 伪 造 公 钥 ,容易 受到 假冒 用 户 的 攻击 。 因 此 , 公 钥 必须 从 正规 途径 获取 或 
对 公 钼 的 真 伪 进行 认证 。 

(2) 建立 公 钥 目录 

公 钥 目录 是 由 可 信 机 构建 立 的 一 个 公开 的 ,动态 的 公开 密 钥 的 目录 ,并 且 可 信和 机 构 负 
责 该 目录 的 维护 和 分 配 ,以 确保 整个 公 钥 目录 的 真实 性 和 完整 性 。 参 与 各 方 可 通过 正常 
或 可 信 渠 道 到 目录 权威 机 构 登 记 公开 密 钥 , 可 信和 机构 为 参与 者 建立 用 户 名 和 与 其 公开 密 
钥 的 关联 条 目 , 并 允许 参与 者 随时 访问 该 目录 ,以 及 申请 增 、 删 、 改 自己 的 密 钥 。 为 安全 起 
见 , 参 与 者 与 权威 机 构 之 间 的 通信 安全 受 认证 保护 。 该 方式 的 缺点 是 公 钥 目录 可 能 成 为 
系统 的 性 能 瓶 肛 ,而 且 一 旦 攻击 者 攻破 公 钥 目录 ,就 可 以 算 改 或 伪造 任何 用 户 的 公 钥 ; 优 
点 是 其 安全 性 强 于 公开 发 布 密 钥 分 配 。 

(3) 带 认证 的 密 钥 分 配 

带 认 证 的 密 钥 分 配 是 指 ,由 一 个 专门 的 权威 机 构 在 线 维护 一 个 包含 所 有 注册 用 户 公 
开 密 钥 信 息 的 动态 目录 。 这 种 公开 密 钥 分 配方 案 主 要 用 于 参与 者 A 要 与 B 进行 保密 通 
信 时 ,向 权威 机 构 请 求 B 的 公开 密 钥 。 权 威 机 构 查 找到 B 的 公开 密 钥 ,并 签名 后 发 送 给 
A。 为 安全 起 见 , 还 需 通过 时 间 戳 等 技术 加 以 保护 和 判别 。A 在 收 到 经 权威 机 构 签名 的 
B 的 公 钥 后 ,用 已 经 掌握 的 权威 机 构 的 公 钥 对 签名 进行 验证 ,以 确定 该 公 钥 的 真实 性 , 同 
时 还 利用 时 间 惟 来 防止 对 用 户 公 钥 的 伪造 和 重 放 , 保 证 分 发 公 钥 的 时 效 性 。 该 方式 的 缺 
点 是 权威 机 构 的 可 信服 务 器 必须 在 线 , 用 户 才 可 能 与 可 信服 务 器 间 建 立 通信 和 链 路 ,这 可 能 
导致 可 信服 务 器 成 为 公 钥 使 用 的 一 个 瓶颈 ;, 而 且 权 威 机 构 仍 然 是 被 攻击 的 目标 ,必须 保 
证 权威 机 构 服 务 器 的 绝对 安全 。 
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(4) 使 用 公 钥 数字 证 书 分 配 

所 谓 公 钥 数字 证 书 , 是 指 每 个 用 户 公开 密 钥 的 安全 封装 , 它 由 证 书 管理 机 构 生 成 ,内 
容 包含 用 户 身份 . 公 钥 、 所 用 算法 .序列 号 有 效 期 证书 管 理 机 构 的 信息 及 其 他 一 些 相关 
信息 。 证 书 必须 由 证 书 管理 机 构 签名 ,以 保证 证 书 的 真实 可 靠 性 。 通 信 一 方 可 向 另 一 方 
传送 自己 的 公 钥 数字 证 书 , 另 一 方 可 以 验证 此 证 书 是 否 由 证 书 管理 机 构 签发 .是 否 有 效 。 
这 样 就 区 服 了 在 线 服 务 器 分 配 公 钥 的 缺点 ,可 以 使 用 物理 渠道 ,通过 公 钥 数字 证 书 方式 ， 
交换 公开 密 钥 ,无 需 证 书 管理 机 构 的 在 线 服 务 。 使 用 这 种 方式 ,每 个 用 户 只 需 一 次 性 与 证 
书 管理 机 构建 立 联系 ,将 自己 的 公 钥 注册 到 证 书 管理 机 构 上 ,证 书 管理 机 构 获 取 公 钥 并 进 
行 认证 后 ,由 证 书 管理 机 构 为 用 户 产生 并 颁发 一 个 公 钥 证 书 。 用 户 收 到 证 书 管理 机 构 为 
其 生成 的 公 钥 数字 证 书后 ,可 以 将 证 书 存储 在 本 地 磁盘 上 。 如 果 其 私 钥 不 泄密 , 则 在 证 书 
的 有 效 期 内 可 以 多 次 使 用 该 证 书 而 无 需 再 与 证 书 管理 机 构建 立 联系 。 也 就 是 说 ,一 旦 用 
户 获 得 一 个 公 角 证书, 以 后 用 证 书 来 交换 公 钥 是 离线 方式 的 ,不 再 需要 证 书 管理 机 构 的 参 
与 。 这 种 公 钥 分 配方 法 的 优势 很 明显 : 一 是 每 个 用 户 只 是 偶尔 与 证 书 管理 机 构 发 生 联 
系 , 证 书 管理 机 构 的 压力 显著 降低 ; 二 是 由 于 每 个 用 户 的 公 钥 证 书 都 是 经 过 签名 的 , 公 钥 
分 配 的 可 靠 性 大 大 提高 ; 三 是 公 钥 的 分 配 是 通过 证 书 的 交换 来 实现 的 ,通信 各 方 随时 可 以 
交换 各 自 的 公 钥 证 书 ,省 去 了 许多 繁琐 的 步骤 ,简化 了 分 配 的 过 程 ,提高 了 公 钥 分 配 的 效率 。 

使 用 公 钥 证 书 分 配 用 户 公 钥 是 当前 公 钥 分 配 的 最 佳 方案 。 

虽然 利用 公 钥 证 书 能 够 在 通信 各 方 之 间 方 便 地 交换 密 钥 ,然而 由 于 公 钥 加 密 的 速度 
远 比 对 称 密码 加 密 慢 ,从 而 导致 通信 各 方 通 常 不 直接 采用 公 钥 系统 进行 保密 通信 。 但 是 ， 
将 公 钥 密码 系统 用 于 分 配对 称 密 码 系统 的 会 话 密 钥 却 是 非常 合适 的 。 这 个 过 程 具有 保密 
性 和 认证 性 , 既 能 防止 被 动 攻击 ,又 能 抵抗 主动 攻击 。 


6.4 密 钥 的 更 新 与 撤销 


密 钥 的 使 用 寿命 是 有 周期 的 ,如 果 当 前 密 钥 的 有 效 期 即将 结束 , 则 需要 一 份 新 的 密 钥 
来 取代 当前 正在 使 用 的 密 钥 ,这 就 是 密 钥 的 更 新 。 密 钥 的 更 新 可 以 通过 重新 产生 密 钥 取 
代 原 有 密 钥 的 方式 来 实现 。 当 然 密 钥 更 新 以 后 还 需要 重新 进行 登记 存储、 备份 以 及 发 布 
等 处 理 过 程 ,才能 投入 正常 使 用 。 

有 些 时 候 , 在 一 个 密 钥 的 正常 生命 周期 结束 之 前 必须 将 其 提前 作废 ,不 再 使 用 ,这 就 
是 密 钥 的 撤销 。 例 如 , 当 该 密 钥 的 安全 已 经 受到 威胁 (比如 密 钥 被 泄密 或 被 攻击 时 ) ,或 者 
该 密 钥 相关 的 实体 自身 状况 已 发 生变 化 (比如 人 事变 动 )。 密 钥 被 撤销 ,所 有 使 用 该 密 钥 
的 记录 和 加 密 的 内 容 都 应 该 重新 处 理 或 销毁 ,使 得 它 无 法 恢复 ,即使 恢复 也 没有 什么 可 利 
用 的 价值 。 

会 话 密 钥 在 会 话 结束 时 ,一 般 会 立即 被 删除 。 下 一 次 需要 时 ,重新 协商 。 

当 公 钥 密 码 受到 攻击 或 假冒 时 ,对 于 数字 证 书 这 种 情况 ,撤销 时 需要 一 定 的 时 间 ,不 
可 能 立即 生效 ; 对 于 在 线 服 务 器 形式 ,只 需 在 可 信服 务 器 中 更 新 新 的 公 钥 ,用 户 使 用 时 通 
过 在 线 服 务 器 可 以 随时 得 到 新 的 有 效 的 公 钥 。 
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6.5 秘密 共享 


在 密码 系统 中 ,由 前 面 介绍 的 密 钥 层 次 结构 , 主 密 钥 是 整个 密码 系统 的 关键 ,是 整个 
密码 系统 的 基础 , 它 的 管理 策略 和 方法 对 整个 系统 的 安全 至 关 重 要 ,必须 受到 严格 的 
保护 。 

一 般 来 说 , 主 密 钥 应 该 由 保管 员 人 掌握 ,并 不 受 其 他 人 制约 。 但 是 ,将 它 交 给 单独 的 一 
个 管理 员 保管 ,可 能 造成 一 些 难以 克服 的 整 端 。 首 先 , 这 个 管理 员 将 会 具有 同 他 保管 的 主 
密 钥 一 样 的 安全 敏感 性 ,需要 重点 保护 ,如 果 他 保管 的 主 密 钥 意外 丢失 或 者 他 本 人 突 遇 不 
测 , 则 整个 系统 可 能 就 无 法 使 用 了 。 其 次 ,这 个 管理 员 的 个 人 素质 和 他 对 组 织 的 忠诚 度 也 
将 成 为 系统 安全 的 关键 ,如 果 他 为 了 某 种 利益 而 将 他 保管 的 主 密 钥 主动 泄露 给 他 人 ,将 会 
危害 整个 系统 的 安全 。 

上 述 第 一 个 问题 ,可 以 通过 前 面 介绍 的 密 钥 备份 获得 部 分 解决 ,但 这 又 会 引入 新 的 问 
题 。 因 此 ,为 了 有 效 解决 上 述 问题 ,我 们 可 以 采用 秘密 共享 的 方法 。 其 实 , 它 的 思想 很 简 
单 , 比 如 ,银行 金库 的 钥匙 一 般 情况 下 都 不 是 由 一 个 人 来 保管 使 用 的 ,而 要 由 多 个 人 共同 
负责 使 用 。 

又 如 ,要 保护 一 个 重要 消息 M, 那 么 在 两 个 持 有 人 之 间 进 行 秘密 共享 的 一 种 方案 是 : 
选取 一 个 比特 数 与 M 一 样 长 的 随机 串 尺 ,并 计算 出 S=M @R ,然后 将 S 和 RR 分 别 交付 
两 个 选 定 的 秘密 持 有 人 , 即 可 完成 秘密 共享 。 当 需要 重 构 消 息 M 时 ,只 要 将 两 个 持 有 人 
掌握 的 消息 S 和 尺 拿 来 进行 异 或 运算 , 即 可 得 到 M: S@R 一 M 名 RR 一 M。 显 然 在 
这 个 方案 中 ,任何 一 个 持 有 人 所 掌握 的 信息 只 是 消息 M 的 部 分 碎片 ,无 论 他 有 多 大 的 计 
算 能 力 都 不 可 能 仅 靠 他 个 人 掌握 的 消息 碎片 恢复 出 完整 的 消息 M。 这 种 两 个 持 有 人 秘 
密 共享 方案 很 容易 推广 到 多 个 持 有 人 。 如 果 要 在 个 持 有 人 中 分 割 一 个 秘密 M , 则 需要 
选择 "一 1 个 随机 比特 串 ,并 将 它们 与 秘密 M 异 或 产生 第 个 比特 串 。 显然 ,这 个 比特 
串 的 异 或 即 为 M ,只 要 将 这 个 比特 串 分 别 交 给 个 持 有 人 ,每 人 一 串 , 就 实现 了 nn 个 持 
有 人 的 秘密 分 割 。 

但 上 述 方案 的 缺陷 也 很 明显 。 一 方面 ,这 个 方案 在 恢复 共享 秘密 时 要 求 所 有 份额 缺 
一 不 可 ,任何 一 部 分 丢失 或 者 任何 一 个 份额 持 有 人 出 现 意外 ,共享 的 秘密 都 不 能 恢复 , 因 
此 它 给 个 别 份额 持 有 者 的 损人 不 利己 行为 提供 了 机 会 ,同时 每 次 重 构 共 享 秘密 都 要 求 所 
有 份额 持 有 者 必须 同时 到 场 ,这 也 不 利于 方案 的 高 效 运 用 。 另 一 方面 ,在 上 述 方案 中 ,有 
一 个 实体 占 主 导 地 位 , 它 负 责 产 生 并 分 发 份额 ,因此 他 有 作 汐 的 机 会 ,比如 他 可 以 将 一 个 
毫 无 意义 的 东西 当 作 份 额 分 配给 一 个 持 有 人 ,但 这 丝毫 不 会 影响 共享 秘密 的 重 构 , 也 没有 
人 能 够 发 现 。 

更 复杂 的 秘密 共享 方案 是 门限 方案 (threshold scheme) 。 它 的 基本 思想 是 , 先 由 需要 
保护 的 共享 秘密 产生 nn 个 份额 ,并 且 这 份额 中 的 任意 1 个 就 可 以 重 构 共 享 秘密 。 通 常 1 
称 为 门限 值 (threshold value) ,这样 的 方案 称 为 (1,n) 门 限 方案 。 门 限 值 1 决定 了 系统 在 
安全 性 和 操作 效率 及 易 用 性 上 的 均衡 ,只 需 改 变 : 的 大 小 即 可 使 系统 在 高 安全 性 与 高 效 
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易 用 性 两 个 方面 得 到 适当 调整 。 增 大 门限 值 : 意味 着 需要 更 多 的 秘密 份额 方 可 重 构 共享 
秘密 ,因此 可 以 提高 系统 的 安全 性 ,但 易 用 性 会 相应 降低 ,不 便于 系统 操作 ; 减 小 门限 值 
则 正好 相反 。 

我 们 可 以 将 门限 方案 用 于 密 钥 共享 ,也 就 是 说 ,把 一 个 密 钥 进行 分 解 ,由 若干 个 人 分 
别 保 管 密 钥 的 部 分 份额 ,这 些 保管 的 人 至 少 要 达到 一 定数 量 才 能 恢复 密 钥 , 少 于 这 个 数量 
是 不 可 能 恢复 密 钥 的 ,从 而 对 于 个 人 或 小 团体 起 到 了 制衡 和 约束 作用 。 

具体 来 说 ,所 谓 密 钥 共 享 方案 ,是 指 将 一 个 密 钥 分 成 n 个 子 密 钥 k ,ko，…,k, ,并 秘 
密 分 配给 个 参与 者 , 且 需 满足 下 列 两 个 条 件 : 用 任意 :个子 密 钥 计算 密 钥 & 是 容易 的 ; 
车 子 密 钥 的 个 数 少 于 1 个, 要求 得 密 钥 k 是 不 可 行 的 。 

由 于 重 构 密 钥 至 少 需 要 :个子 密 钥 , 故 暴露 r(r 过 1 一 1) 个 子 密 钥 不 会 危及 密 钥 。 因 
此 少 于 上 个 参与 者 的 共 谋 也 不 能 得 到 密 钥 。 另 外 , 若 一 个 子 密 钥 或 至 多 "一 : 个 子 密 钥 偶 
然 竺 失 或 破坏 , 仍 可 恢复 密 钥 。 密 钥 共 享 方案 对 于 特殊 的 保密 系统 具有 特别 重要 的 意义 。 

门限 方案 是 由 Adi Shamir 和 George Blakley 于 1979 年 分 别 独 自 提出 的 ,后 来 人 们 
又 提出 了 很 多 门限 方案 。 这 里 ,我 们 介绍 Blakley 的 矢量 门限 方案 。 

Blakley 提出 的 秘密 共享 方案 利用 了 关于 空间 中 的 点 的 知识 。 由 几何 知识 ,我 们 知 
道 ,平面 上 两 条 互 不 平行 的 直线 有 一 个 交点 ,三 维 空间 中 三 个 互 不 平行 的 平面 也 交 于 一 
点 。 若 将 共享 秘密 映射 到 :上 维 空间 中 的 一 个 点 , 且 根 据 共享 秘密 构造 的 每 一 个 秘密 份额 
都 是 包含 这 个 点 的 :一 1 维 超 平面 的 方程 ,那么 1 个 或 1 个 以 上 的 这 种 超 平面 的 交点 刚好 
确定 这 个 点 。 

例如 ,如 果 打 算 用 3 个 秘密 份额 来 重 构 秘 密 消息 ,那么 就 需要 将 此 消息 映射 到 三 维 
空间 上 的 一 个 点 ,每 个 秘密 份额 就 是 一 个 不 同 的 平面 。 如 果 只 有 1 个 秘密 份额 , 则 仅 知 
道 共 享 秘密 是 这 个 份额 表示 的 平面 上 的 某 个 点 ; 若 有 2 个 秘密 份额 , 则 可 知 共享 秘密 
是 这 2 个 份额 平面 交 线 上 的 某 个 点 ; 如 果 至 少 知道 3 个 秘密 份额 ,那么 就 一 定 能 够 确 
定 共享 秘密 ,因为 它 正 好 是 这 3 个 份额 平面 的 交点 。 反 过 来 , 若 仅 知道 1 个 或 者 2 个 秘 
密 份额 ,要 想 恢 复出 共享 秘密 是 不 可 能 的 ,因为 一 个 面 或 者 一 条 线 上 的 点 是 不 可 穷 
举 的 。 


6.6 数字 签名 


生活 中 常用 的 合同 .财产 关 系 证 明 等 都 需要 签名 或 印章 ,在 将 来 发 生 纠纷 时 用 来 证 明 
其 真实 性 。 一 些 重要 证 件 , 如 护照 .身份 证 ,驾照 ,毕业 证 和 技术 等 级 证 书 等 都 需要 授权 机 
盖 章 才 有 效 。 亲 笔 签 名 .印章 等 起 到 核准 认证 和 生效 的 作用 。 在 数字 化 和 网 络 化 的 今 
天 ,大 量 的 社会 活动 正在 逐步 实现 电子 化 和 无 纸 化 ,活动 参与 者 主要 是 在 计算 机 及 其 网 络 
上 执行 活动 过 程 ,因而 传统 的 手书 签名 和 印章 已 经 不 能 满足 新 形势 下 的 需求 。 在 这 种 背 
景 下 ,数字 签名 技术 应 运 而 生 。 
数字 签名 是 对 以 数字 形式 存储 的 消息 进行 某 种 处 理 , 产 生 一 种 类 似 于 传统 手书 签名 
功效 的 信息 处 理 过 程 。 它 通常 将 某 个 算法 作用 于 需要 签名 的 消息 ,生成 一 种 带 有 操作 者 
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身份 信息 的 编码 。 通 常 将 执行 数字 签名 的 实体 称 为 签名 者 ,所 使 用 的 算法 称 为 签名 算法 ， 
签名 操作 生成 的 编码 称 为 签名 者 对 该 消息 的 数字 签名 。 消 息 连 同 其 数字 签名 能 够 在 网 络 
上 传输 ,可 以 通过 一 个 验证 算法 来 验证 签名 的 真 伪 以 及 识别 相应 的 签名 者 。 


6.6.1 数字 签名 的 基本 要 求 


类 似 于 手书 签名 ,数字 签名 至 少 应 该 满足 三 个 基本 要 求 。 

(1) 完整 性 

完整 性 , 即 被 签名 的 消息 不 能 被 断章取义 。 一 个 被 签 了 名 的 消息 ,无 法 分 割 成 为 若干 
个 被 签 了 名 的 子 消 息 。 当 一 个 签名 消息 被 分 割 成 子 消息 发 送出 去 , 则 签名 已 经 被 破坏 了 ， 
收 到 消息 的 人 会 辨认 出 签名 是 无 效 的 (不 合法 的 )。 

(2) 不 可 伪造 性 

收 信者 能 够 验证 和 确认 收 到 的 数字 签名 ,但 任何 人 都 无 法 伪造 别人 的 数字 签名 。 

比如 , 当 Bob 收 到 一 个 “被 Alice 签名 的 消息 ”时 ,他 有 办 法 检验 该 消息 是 否 真 的 是 被 
Alice 签名 的 消息 。 或 许 攻击 者 Eve 截获 了 大 量 的 被 Alice 签名 的 消息 ,但 她 仍然 不 能 伪 
造 出 一 个 新 的 、 别 人 认可 的 “被 Alice 签名 的 消息 ”。 

(3) 不 可 否认 性 

签名 者 任何 时 候 都 无 法 否认 自己 曾经 签发 的 数字 签名 。 

比如 , 当 Bob 收 到 一 个 被 Alice 签名 的 消息 时 ,他 有 办 法 证 明 ( 也 可 向 第 三 方 证 明 ) 该 
签名 是 真 的 被 Alice 签名 的 消息 。 

从 上 面 的 对 比 可 以 看 出 ,数字 签名 必须 能 够 实现 与 手书 签名 同等 的 甚至 更 强 的 功能 。 
为 了 达到 这 个 目的 ,签名 者 必须 向 验证 者 提供 足够 多 的 非 保密 信息 ,以 便 验 证 者 能 够 确认 
签名 者 的 数字 签名 ; 但 签名 者 又 不 能 泄露 任何 用 于 产生 数字 签名 的 机 密 信 息 , 以 防止 有 
人 伪造 他 的 数字 签名 。 因 此 ,签名 算法 必须 能 够 提供 签名 者 用 于 签名 的 机 密 信 息 与 验证 
者 用 于 验证 签名 的 公开 信息 ,但 二 者 的 交叉 不 能 太 多 ,联系 也 不 能 太 直观 ,从 公开 的 验证 
信息 不 能 轻易 地 推测 出 用 于 产生 数字 签名 的 机 密 信息 。 这 是 对 签名 算法 的 基本 要 求 
让 二 


6.6.2 公 钥 密码 的 数字 签名 


现在 的 数字 签名 方案 大 多 是 基于 某 个 公 钥 密码 算法 构造 出 来 的 。 这 是 因为 在 公 钥 密 
码 体制 里 ,每 一 个 系统 用 户 都 有 一 对 专用 的 公 钥 和 私 钥 ,其 中 的 公 钥 是 对 外 公开 的 ,可 以 
通过 一 定 的 途径 去 查询 ; 而 私 钥 是 保密 的 ,只 有 拥有 者 自己 掌握 ,因此 私 钥 与 其 持 有 人 的 
身份 一 一 对 应 ,可 以 看 做 是 其 持 有 人 的 一 种 身份 标识 。 恰 当地 应 用 发 送 方 私 钥 对 消息 进 
行 处 理 , 可 以 使 接收 方 能 够 确信 收 到 的 消息 确实 来 自 其 声称 的 发 送 者 ,同时 发 送 者 也 不 能 
对 自己 发 出 的 消息 予以 否认 , 即 实现 了 消息 认证 和 数字 签名 的 功能 。 图 6. 2 给 出 公 钥 了 
算法 用 于 数字 签名 的 基本 原理 。 
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传递 的 消息 


的 验证 结果 
公 钥 验证 避让 纪 


图 6.2 公 钥 数字 签名 基本 原理 


RSA 公 角 密码 体制 是 实践 中 广泛 应 用 的 基于 公 钥 密码 体制 的 数字 签名 技术 。RSA 
数字 签名 的 处 理 方法 与 RSA 加 解密 的 处 理 方法 基本 一 样 ,不 同 之 处 在 于 ,签名 时 签名 者 
要 用 自己 的 私有 密 钥 对 消息 "加 密 ”, 而 验证 签名 时 验证 者 要 使 用 签名 者 的 公 钥 对 签名 者 
的 数字 签名 “解密 ”。 

相应 于 图 6. 2 所 示 的 签名 过 程 ,RSA 数字 签名 的 具体 过 程 如 下 : 

(1) Alice 用 自己 的 私 钥 ds 对 消息 m 进行 “解密 ”二 Da(m)，,s 就 是 对 消息 m 的 签名 
值 ,Cm,s) 就 是 一 个 签 过 名 的 消息 。 

(2) Alice 将 (Cm,s) 发 送 给 Bob。 

(3) Bob 收 到 (Gm,s) 后 ,用 Alice 的 公 钥 ea .验证 是 否 有 mm 二 Ea(s)。 若 是 , 则 (mm,s) 是 
Alice 发 送 的 签名 消息 。 

如 果 在 公 钥 数字 签名 系统 中 ,还 要 求 保密 性 , 则 上 述 方案 可 进行 如 下 修正 ,如 图 6. 3 
所 示 : 

(1) Alice 用 自己 的 私 钥 ds 对 消息 m 进行 签名 :二 Da(m)。 

(2) Alice 再 用 Bob 的 公 钥 es 对 进行 加 密 得 到 密 文 C= Es(s)。 

(3) Alice 将 C 发 送 给 Bob。 

(4) Bob 收 到 C 后 , 先 用 自己 的 私 钥 ds 对 C 进行 解密 得 到 :二 Ds(C)。 

(5) Bob 再 用 Alice 的 公 钥 es 恢复 出 明文 mm。 

传递 的 消息 


接收 方 


消息 Bob 


Alice 


6.3 公 角 加密 及 数字 签名 


改进 的 方案 具有 的 现实 意义 在 于 , 它 彻 底 解决 了 收发 双方 就 传送 内 容 可 能 发 生 的 争 
端 ,为 在 商业 上 广泛 应 用 创造 了 条 件 。 
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题 


1. 为 什么 在 密 钥 管理 中 引入 层次 结构 ? 

2. 密 钥 产生 应 遵循 哪些 原则 ? 

3. 密 钥 安全 存储 的 方法 有 哪些 ? 

4. 密 钥 备 份 的 方法 有 哪些 ? 

5. 对 称 密 钥 分 配 的 基本 方法 有 哪些 ? 

6. A 希望 与 B 进行 保密 通信 ,他 们 的 会 话 密 钥 由 KDC 产生 ,具体 过 程 如 下 , 试 分 析 
该 分 配方 法 的 不 足 , 并 提出 改进 方案 : 

第 一 步 : A 一 KDC: (IDs)。 

第 二 步 : KDC-~A: Ka(Ks) | KeCKs)。 

第 三 步 : A 一 B: Ks(Ks)。 

现在 A 和 B 都 获取 了 由 KDC 分 配 的 会 话 密 钥 Ks ,之 后 就 可 以 使 用 它 进行 通信 。 

7. 公开 密 钥 分 配 有 哪些 形式 ? 

8. 公 钥 密码 系统 用 于 分 配对 称 密码 系统 的 会 话 密 钥 非常 合适 ,但 使 用 起 来 也 需要 十 
分 小 心 。 如 果 A 希望 与 B 进行 保密 通信 ,并 且 获 取 了 B 的 公 钥 Es ,如 果 A 采用 A 一 B: 
IDA Es (Ks) 分 配 会 话 密 钥 会 产生 怎样 的 问题 ? 出 现 该 问题 的 原因 是 什么 ? 

9. 为 什么 要 进行 密 钥 的 更 新 ? 

10. 密 钥 撤销 时 需要 进行 哪些 后 续 处 理 ? 

11. 为 什么 要 进行 秘密 共享 ? 

12. 为 什么 要 进行 数字 签名 ? 

13. 数字 签名 需要 满足 的 基本 要 求 是 什么 ? 

4. 如 何 利用 公 钥 密码 体制 进行 数字 签名 ? 


计算 机 网 络 安全 


7.1 计算 机 网 络 安全 概述 


计算 机 网 络 系统 安全 威胁 的 存在 ,不 仅 会 给 个 人 、 企 业 造成 不 可 避免 的 损失 ,同时 也 
给 企业 、 社 会 ,乃至 整个 国家 带 来 了 巨大 的 经 济 损失 。 因 此 ,提高 对 网 络 安 全 重要 性 的 认 
识 ,增强 防范 意识 ,强化 防范 措施 ,不 仅 是 各 个 企业 组 织 要 重视 的 问题 ,也 是 保证 信息 产业 
持续 稳定 发 展 的 重要 保证 和 前 提 条 件 。 


7.1.1 计算 机 网 络 安全 的 含义 


计算 机 网 络 不 安全 的 因素 一 般 可 来 源 于 下 列 方面 : TCP/IP 协议 的 安全 ,操作 系统 本 
身 的 安全 、 应 用 程序 的 安全 、 物 理 安全 以 及 人 的 因素 。 从 这 些 方面 出 发 ,人 们 对 计算 机 安 
全 提出 了 很 多 安全 概念 ,比如 信息 安全 、 网 络 安全 、 信 息 系统 安全 、 网 络 信息 安全 、 网 络 信 
息 系统 安全 ,计算 机 系统 安全 、 计 算 机 信息 系统 安全 等 。 这 些 不 同 的 说 法 归根 到 底 就 是 两 
层 意思 : 在 计算 机 网 络 环境 下 信息 系统 的 安全 运行 和 在 计算 机 系统 中 存储 、 处 理 和 传输 
的 信息 得 到 安全 保护 。 

在 计算 机 网 络 盛行 的 今天 ,我 们 发 现 数据 处 理 系统 都 一 般 是 建立 在 计算 机 网 络 基础 
上 的 ,因此 保证 了 计算 机 网 络 的 安全 ,也 就 是 保证 了 数据 信息 的 防护 。 之 所 以 强调 网 络 安 
全 ,主要 是 因为 计算 机 网 络 的 广泛 应 用 而 使 得 网 络 安全 问题 表现 得 更 为 突出 。 计 算 机 网 
络 安全 包括 网 络 系统 安全 运行 和 数据 信息 系统 安全 防护 两 方面 ,这 两 者 之 间 是 相辅相成 
的 , 即 网 络 系统 安全 是 对 数据 信息 系统 安全 运行 以 及 对 运行 在 信息 系统 中 的 信息 进行 安 
全 防护 ; 数据 信息 系统 的 安全 防护 是 为 网 络 系统 提供 有 效 服务 的 前 提 。 

计算 机 网 络 安全 是 一 门 涉 及 计算 机 科学 、 网 络 技 术 、 通 信 技 术 、 密 码 技术 信息论、 应 
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用 数学 \ 信 息 安 全 技术 等 的 综合 性 学 科 。 从 不 同 的 “角度 "来 看 ,人 们 对 网 络 安全 的 具体 理 
解 也 不 同 ,网 络 安 全 的 具体 含义 也 会 随 之 变化 而 变化 ,比如 : 

(1) 网 络 用 户 ( 个 人 ,企业 等 ) 希 望 涉 及 个 人 隐私 或 商业 利益 的 信息 在 网 络 中 传输 时 ， 
避免 其 他 人 利用 窃听 .冒充 、 自 改 和 抵赖 等 手段 侵犯 或 损坏 他 们 的 利益 ,同时 也 希望 避免 
其 他 用 户 对 存储 用 户 信息 的 计算 机 系统 进行 非法 访问 和 破坏 ,以 保护 他 们 信息 的 完整 和 

(2) 网 络 信息 管理 者 希望 对 本 地 网 络 信息 进行 保护 和 控制 ,避免 出 现 病毒 人 侵 、 非 法 
存 取 、 拒 绝 服务 和 网 络 资源 的 非法 占用 及 非法 控制 等 威胁 ,使 自己 的 信息 免 受 网 络 黑客 的 
攻击 。 

(3) 安全 保密 部 门 希望 对 非法 的 或 国家 机 密 的 信息 进行 过 滤 和 阻截 ,避免 机 密 信 息 
泄露 对 社会 产生 危害 ,给 国家 造成 巨大 损失 。 

(4) 从 社会 教育 和 意识 形态 角度 出 发 ,必须 对 网 络 上 有 害 的 、 影 响 人 们 身心 健康 的 和 
会 造成 社会 不 安定 的 内 容 进行 控制 ,因为 这 些 信 息 将 对 社会 的 稳定 和 人 类 的 发 展 产生 不 
利 影 

综合 各 方面 情况 来 看 ,计算 机 网 络 安全 可 理解 为 “网 络 系 统 能 够 安全 运行 和 各 种 数据 
信息 不 受 任何 威胁 的 状态 ”。 具体 地 说 ,就 是 计算 机 网 络 安全 是 指 利用 各 种 网 络 管理 、 控 
制 和 技术 措施 ,使 网 络 系统 的 硬件 .软件 及 其 系统 中 的 数据 资源 受到 保护 ,不 会 因为 一 些 
不 利 因素 而 使 这 些 资源 但 到 破坏 、 更 改 和 泄露 ,并 且 能 够 保证 网 络 系 统 连续 、 可 靠 、 安 全 地 
运行 ,使 信息 的 传输 不 受 干 扰 和 破坏 。 


7.1.2 计算 机 网 络 安全 面临 的 威胁 


计算 机 网 络 所 面临 的 威胁 大 体 可 分 为 两 种 : 一 是 对 网 络 中 信息 的 威胁 ; 二 是 对 网 络 
中 设备 的 威胁 。 影 响 计算 机 网 络 安全 的 因素 很 多 ,概括 起 来 ,主要 有 以 下 几 类 。 

(1) 来 自 内 部 的 威胁 ,包括 内 部 涉 密 人 员 有 意 或 无 意 的 泄密 、 更 改 记录 信息 ,内 部 非 
授权 人 员 有 意 或 无 意 的 偷窃 机 密 信息 、 更 改 网 络 配 置 和 记录 信息 ,内 部 人 员 破 坏 网 络 系 
统 等 。 

(2) 窃听 ,攻击 者 通过 搭 线 或 在 电磁 波 辆 射 的 范围 内 安装 接收 装置 等 方式 ,截获 机 密 
信息 ,或 通过 对 信息 流 的 流向 ` 通 信 频 度 和 长 度 等 参数 的 分 析 , 推 出 有 用 信息 。 它 不 破坏 
传输 信息 的 内 容 ,不 易 被 察觉 。 

(3) 非法 访问 ,没有 预先 经 过 同意 ,就 使 用 网 络 或 计算 机 资源 被 看 作 非 法 访问 ,主要 
有 以 下 几 种 形式 : 假冒 、 身 份 攻击 、 非 法 用 户 进入 网 络 系统 进行 违法 操作 、 合 法 用 户 以 未 
授权 方式 进行 操作 等 。 

(4) 破坏 信息 的 完整 性 ,可 以 从 自 改 删除. 插入 3 方面 破坏 信息 的 完整 性 。 自 改 是 
指 改 变 信 息 流 的 次 序 、 时 序 ,更 改 信息 的 内 容 、 形 式 ; 删除 是 指 删 除 某 个 信息 或 信息 的 某 
些 部 分 ; 插入 是 指 在 信息 中 插入 另 一 些 信息 ,让 接收 方 读 不 懂 或 接收 错误 的 信息 。 

(5) 破坏 系统 的 可 用 性 ,包括 使 合法 用 户 不 能 正常 访问 网 络 资源 .使 有 严格 时 间 要 求 
的 服务 不 能 及 时 得 到 响应 、 恶 意 摧毁 系统 等 。 
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(6) 重演 , 指 截获 并 录制 信息 ,然后 在 必要 的 时 候 重 发 或 反复 发 送 这 些 信 息 。 

(7) 行为 否认 ,包括 发 信者 事后 否认 曾经 发 送 过 某 条 消息 或 其 内 容 及 发 信者 事后 否 
认 曾 经 接收 过 某 条 消息 或 其 内 容 。 

(8) 拒绝 服务 攻击 , 指 通过 某 种 方法 使 系统 响应 减 慢 甚至 瘫痪 ,阻止 合法 用 户 获 得 
服务 。 

(9) 病毒 传播 ,通过 网 络 传播 计算 机 病毒 ,其 破坏 性 非常 高 ,而且 用 户 很 难 防 范 。 

(10) 其 他 威胁 ,对 网 络 系统 的 威胁 还 包括 电磁 泄露 ` 软 硬件 故障 .各 种 自然 灾害 人 
为 操作 失误 等 。 


7.1.3 计算 机 网 络 安全 的 特点 


根据 计算 机 网 络 安全 的 历史 及 现状 ,可 以 看 出 网 络 安全 大 致 有 以 下 几 个 特点 。 

(1) 网 络 安全 的 涉及 面 越 来 越 广 

随 着 计算 机 使 用 范围 的 扩大 ,网络 安 全 几乎 涉及 了 社会 的 各 个 层面 。 例 如 ,保护 国家 
机 密 不 受 黑 客 的 袭击 而 泄露 ; 保护 商业 机 密 、 企 业 资料 不 遭 窃 取 ; 保护 个 人 隐私 ; 保证 接 
和 人 网络 的 计算 机 系统 不 受 病毒 的 侵袭 而 瘫痪 等 。 可 以 看 出 ,网 络 安全 不 仅仅 涉及 如 何 运 
用 适当 的 技术 保护 信息 系统 的 安全 ,还 涉及 与 此 相关 的 一 系列 包括 安全 管理 制度 .安全 法 
律 法 规 等 在 内 的 众多 内 容 。 

(2) 计算 机 网 络 安全 涉及 的 技术 层面 越 来 越 深 

如 今 的 计算 机 网 络 已 经 形成 了 一 个 跟 现 实 社会 紧密 相关 的 虚拟 社会 ,大 量 的 信息 流 、 
资金 流 和 物流 都 运行 其 上 。 为 了 实现 所 需 的 功能 ,网 络 本 身 采 用 了 许多 的 新 兴 技 术 。 此 
外 ,黑客 采用 的 攻击 手段 和 技术 很 多 都 是 利用 以 前 没有 发 现 的 全 新 的 系统 漏洞 ,防御 的 技 
术 难 度 比较 大 。 这 一 切 都 使 网 络 安全 所 涉及 的 技术 层面 不 断 加 深 。 

(3) 网 络 安全 的 黑 盒 性 

网 络 安全 是 一 种 以 * 防 患 于 未 然 " 为 主 的 安全 保护 方式 ,而 网 络 威胁 的 隐蔽 性 和 潜在 
性 更 增加 了 保证 安全 的 难度 ,如 窃取 、 侦 听 、 传 播 病 毒 这 些 行为 都 是 隐蔽 的 ,致使 网 络 安全 
防范 的 对 象 广 泛 而 难以 明确 。 

(4) 网 络 安全 的 动态 性 

由 于 黑客 和 病毒 方面 的 技术 日 新 月 异 ,新 的 系统 安全 漏洞 也 层出不穷 。 因 此 ,网络 安 
全 必须 能 够 紧 跟 网 络 发 展 的 步伐 ,适应 新 兴 的 黑客 技术 。 唯 有 如 此 ,才能 为 不 断 发 展 的 计 
算 机 网 络 提供 可 靠 的 安全 保障 。 

(5) 网 络 安全 的 相对 性 

任何 网 络 安全 都 是 相对 的 ,任何 网 络 安全 产品 的 安全 保证 都 只 能 说 是 提高 网 络 安全 
的 水 平 ,而 不 能 杜绝 危害 网 络 安全 的 所 有 事件 。 因 此 ,在 网 络 安全 领域 中 ,失败 是 常 有 的 
事情 ,只 是 启用 了 网 络 安全 防护 系统 的 网 络 其 遭 到 攻击 的 可 能 性 低 一 些 , 损 失 也 小 一 些 而 
已 。 另 外 ,安全 措施 与 系统 使 用 的 灵活 性 和 方便 性 之 间 也 存在 着 矛盾 。 
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7.1.4 计算 机 网 络 安全 的 目标 


鉴于 计算 机 网 络 安全 威胁 的 多 样 性 ,复杂 性 及 网 络 信息 、 数 据 的 重要 性 ,在 设计 计算 
机 网 络 系 统 的 安全 时 ,应 努力 通过 相应 的 手段 达到 以 下 5 项 安全 目标 : 可 靠 性 、 可 用 性 、 
保密 性 、 完 整 性 和 不 可 抵赖 性 。 


1. 可 靠 性 


可 靠 性 (reliability) 指 系统 在 规定 条 件 下 和 规定 时 间 内 完成 规定 功能 的 概率 。 可 靠 
性 是 网 络 安全 最 基本 的 要 求 之 一 。 如 果 网 络 不 可 靠 ,事故 不 断 , 也 就 根本 谈 不 上 网 络 的 安 
全 。 目 前 ,对 于 网 络 可 靠 性 的 研究 基本 上 偏重 于 硬件 可 靠 性 方面 。 研 制 高 可 靠 性 元 器 件 
设备 ,采取 合理 的 元 余 备份 措施 仍 是 最 基本 的 可 靠 性 对 策 。 然 而 ,有 许多 故障 和 事故 ,与 
软件 可 靠 性 、 人 员 可 靠 性 和 环境 可 靠 性 有 关 。 如 人 员 可 靠 性 在 通信 网络 可 靠 性 中 起 着 重 
要 作用 。 有 关 资 料 表明 ,系统 失效 中 很 大 一 部 分 是 由 人 为 因素 造成 的 。 


2. 可 用 性 


可 用 性 (availability) 指 信息 和 通信 服务 在 需要 时 允许 授权 人 或 实体 使 用 。 可 用 性 是 
网 络 面向 用 户 的 基本 安全 要 求 。 网 络 最 基本 的 功能 是 向 用 户 提供 所 需 的 信息 和 通信 服 
务 , 而 用 户 的 通信 要 求 是 随机 的 ,多 方面 的 ,有 时 还 要 求 时 效 性 。 网 络 必须 随时 满足 用 户 
通信 的 要 求 。 从 某 种 意义 上 讲 , 可 用 性 是 可 靠 性 的 更 高 要 求 , 特 别 是 在 重要 场合 下 ,特殊 
用 户 的 可 用 性 显得 十 分 重要 。 为 此 ,网 络 需 要 采用 科学 合理 的 网 络 拓扑 结构 、 必 要 的 宛 
余 , 容 错 和 备份 措施 以 及 网 络 自 愈 技术 分 配 配置 和 负荷 分 担 、 各 种 完善 的 物理 安全 和 应 
急 措施 等 ,从 满足 用 户 需要 出 发 ,保证 通信 网 的 安全 。 


3. 保密 性 


保密 性 (confidentiality) 指 防止 信息 泄露 给 非 授权 个 人 或 实体 ,信息 只 由 授权 用 户 使 
用 。 保密 性 是 面向 信息 的 安全 要 求 。 它 是 在 可 靠 性 和 可 用 性 的 基础 上 ,保障 网 络 中 信息 
安全 的 重要 手段 。 对 于 人 敏感 用 户 信息 的 保密 ,是 人 们 研究 最 多 的 领域 。 由 于 网 络 信息 会 
成 为 黑客 .计算 机 犯罪 .病毒 ,甚至 信息 战 攻击 的 目标 ,已 受到 了 人 们 越 来 越 多 的 关注 。 


4. 完整 性 


完整 性 (integrity) 指 信息 不 被 偶然 或 蓄意 地 删除 修改、 伪造 、 乱 序 ` 重 放 、 插 入 等 破 
坏 的 特性 。 完 整 性 也 是 面向 信息 的 安全 要 求 。 它 与 保密 性 不 同 , 保 密 性 是 防止 信息 泄露 
给 非 授权 的 人 ,而 完整 性 则 要 求 信息 的 内 容 和 顺序 都 不 受 破坏 和 修改 。 用 户 信息 和 网 
络 信息 都 要 求 具 备 完 整 性 ,例如 涉及 金融 的 用 户 信息 ,如 果 用 户 账目 被 修改 、 伪 造 或 删 
除 ,将 带 来 巨大 的 经 济 损失 。 网 络 中 的 网 络 信息 一 旦 受到 破坏 ,严重 的 还 会 造成 通信 网 
的 瘫痪 。 
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5. 不 可 抵赖 性 


不 可 抵赖 性 Cnonrrepudiation) 也 称 作 不 可 否认 性 ,是 面向 通信 双方 (人 、 实 体 或 进程 
信息 真实 ,同一 的 安全 要 求 。 它 包括 收发 双方 均 不 可 抵赖 。 随 着 通信 业务 的 不 断 扩大 , 电 
子 贸易 .电子 金融 .电子 商务 和 办 公 自 动 化 等 许多 信息 处 理 过程 都 需要 通信 双方 对 信息 内 
容 的 真实 性 进行 认同 ,为 此 ,应 采用 数字 签名 、 认 证、 数据 完备 .鉴别 等 有 效 措 施 , 以 实现 信 
息 的 不 可 抵赖 性 。 

从 以 上 的 安全 目标 可 以 看 出 ,网 络 的 安全 不 仅仅 是 防范 窃 密 活动 ,其 可 靠 性 可用性、 
完整 性 和 不 可 抵赖 性 应 作为 与 保密 性 同等 重要 的 安全 目标 加 以 实现 。 我 们 应 从 观念 上 、 
政策 上 做 出 必要 的 调整 ,全 面 规划 和 实施 网 络 和 信息 的 安全 。 


7.2 计算 机 网 络 安全 体系 结构 


通过 对 网 络 应 用 的 全 面 了 解 ,按照 安全 风险 、 需 求 分 析 结 果 、 安 全 策略 以 及 网 络 的 安 
全 目标 ,整个 网 络 安全 措施 应 按 系 统 体系 建立 。 有 具体 的 网 络 安全 体系 结构 可 以 由 以 下 几 
个 方面 组 成 : 物理 安全 、 网 络 安全 信息 安全 ,安全 管理 。 


7.2.1 物理 安全 


保证 计算 机 信息 系统 各 种 设备 的 物理 安全 是 整个 计算 机 信息 系统 安全 的 前 提 。 物 理 
安全 是 保护 计算 机 网 络 设备 ,设施 以 及 其 他 媒体 免 草 地震、 水 灾 、 火 灾 等 环境 事故 以 及 人 
为 操作 失误 或 错误 及 各 种 计算 机 犯罪 行为 导致 的 破坏 过 程 。 它 主要 包括 3 个 方面 : 

环境 安全 , 指 对 系统 所 在 环境 的 安全 保护 ,如 区 域 保护 和 灾难 保护 。 

设备 安全 ,主要 包括 设备 的 防盗 、 防 毁 、 防 电磁 辐射 及 泄露 .防止 线路 截获 . 抗 电磁 干 
扰 及 电源 保护 等 。 

媒体 安全 ,包括 媒体 数据 的 安全 及 媒体 本 身 的 安全 。 


7.2.2 网 络 安全 


网 络 安全 是 整个 安全 解决 方案 的 关键 ,我 们 从 以 下 几 个 方面 分 别 进 行 说 明 。 

1. 隔离 及 访问 控制 系统 

首先 要 有 严格 的 管理 制度 ,可 制定 诸如 “用 户 授 权 实 施 规则 ”密码 及 账户 管理 规范 ” 
“权限 管理 制度 “安全 责任 制度 ”等 一 系列 规章 守则 。 其 次 ,可 以 通过 划分 虚拟 子 网 实现 


较 粗略 的 访问 控制 。 内 部 办 公 自动 化 网 络 可 根据 不 同 用 户 安全 级 别 或 者 根据 不 同 部 门 的 
安全 需求 ,利用 三 层 交 换 机 来 划分 虚拟 子 网 。 在 没有 配置 路 由 的 情况 下 ,不同 虚拟 子 网 间 
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是 不 能 够 互相 访问 的 。 再 次 ,配置 防火 墙 。 防 火 墙 是 实现 网 络 安全 最 基本 、 最 经 济 、 最 有 
效 的 安全 措施 之 一 。 防 火 墙 可 以 通过 制定 严格 的 安全 策略 实现 内 外 网 络 或 内 部 网 络 不 同 
信任 域 之 间 的 隔离 与 访问 控制 ,并 且 防 火 墙 可 以 实现 单 向 或 双向 控制 ,对 一 些 高 层 协议 实 
现 较 细 粒 的 访问 控制 。 


2. 网 络 安全 检测 


网 络 系统 的 安全 性 取决 于 网 络 系统 中 最 薄弱 的 环节 。 如 何 及 时 发 现 网 络 系统 中 最 薄 
弱 的 环节 ? 如 何 最 大 限度 地 保证 网 络 系统 的 安全 ? 最 有 效 的 方法 是 定期 对 网 络 系统 进行 
安全 性 分 析 , 及 时 发 现 并 修正 存在 的 弱点 和 漏洞 。 

网 络 安全 检测 工具 通常 是 一 个 网 络 安全 性 评估 分 析 软 件 ,其 功能 是 用 实践 性 的 方法 
扫描 分 析 网 络 系统 ,检查 报告 系统 存在 的 弱点 和 漏洞 ,建议 补救 措施 和 安全 策略 ,达到 增 
强 网 络 安全 性 的 目的 。 


3. 审计 与 监控 


审计 是 记录 用 户 使 用 计算 机 网 络 系统 进行 所 有 活动 的 过 程 , 它 是 提高 安全 性 的 重要 
工具 。 它 不 仅 能 够 识别 谁 访问 了 系统 ,还 能 指出 系统 正 被 怎样 地 使 用 。 对 于 确定 是 否 有 
网 络 攻击 的 情况 ,审计 信息 对 于 确定 问题 和 攻击 源 非常 重要 。 同 时 ,系统 事件 的 记录 能 够 
更 迅速 和 系统 地 识别 问题 ,并 且 它 是 后 面 阶段 事故 处 理 的 重要 依据 。 另 外 ,通过 对 安全 事 
件 的 不 断 收集 与 积累 并 且 加 以 分 析 , 有 选择 性 地 对 其 中 的 某 些 站 点 或 用 户 进行 审计 跟踪 ， 
以 便 对 发 现 已 产生 或 可 能 产生 的 破坏 性 行为 提供 有 力 的 证 据 。 

因此 , 除 使 用 一 般 的 网 管 软件 和 系统 监控 管理 系统 外 ,还 应 使 用 目前 以 较为 成 熟 的 网 
络 监控 设备 或 实时 入 侵 检测 设备 ,以 便 对 进出 各 级 局 域 网 的 常见 操作 进行 实时 检查 、 监 
控 、 报 警 和 阻 断 ,从 而 防止 针对 网 络 的 攻击 与 犯罪 行为 。 


4. 网 络 反 病毒 


在 网 络 环境 下 ,计算 机 病毒 有 着 不 可 估量 的 威胁 性 和 破坏 力 , 因 此 计算 机 病毒 的 防范 
是 网 络 安全 性 建设 中 的 重要 一 环 。 

网 络 反 病 毒 技术 包括 预防 病毒 .检测 病毒 和 消毒 3 种 技术 。 预 防 病毒 技术 通过 自身 
常 驻 系统 内 存 ,优先 获得 系统 的 控制 权 ,监视 和 判断 系统 中 是 否 有 病毒 存在 ,进而 阻止 计 
算 机 病毒 进入 计算 机 系统 和 对 系统 进行 破坏 。 这 类 技术 有 : 加 密 可 执行 程序 .引导 区 保 
护 、 系 统 监控 与 读 写 控制 (如 防 病毒 卡 ) 等 。 检 测 病 毒 技术 是 通过 对 计算 机 病毒 的 特征 来 
进行 判断 的 技术 ,如 自身 校 验 ,关键 字 文件 长 度 的 变化 等 。 消 毒 技 术 是 指 通 过 对 计算 机 
病毒 的 分 析 , 开 发 出 具有 删除 病毒 程序 并 恢复 原文 件 的 软件 。 


5. 网 络 备份 系统 


为 了 尽 可 能 快 地 全 盘 恢 复 运行 计算 机 系统 所 需 的 数据 和 系统 信息 ,人 们 引入 了 备份 
系统 。 根 据 系统 安全 需求 可 选择 的 备份 机 制 有 : 场地 内 高 速度 大 容量 自动 的 数据 存储 、 
备份 与 恢复 ; 场地 外 的 数据 存储 、 备 份 与 恢复 ; 对 系统 设备 的 备份 。 备 份 不 仅 在 网 络 系 
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统 硬件 故障 或 人 为 失误 时 起 到 保护 作用 ,也 在 入 侵 者 非 授 权 访 问 或 对 网 络 攻 击 及 破坏 数 
据 完整 性 时 起 到 保护 作用 ,同时 亦 是 系统 灾难 恢复 的 前 提 之 一 。 

一 般 的 数据 备份 操作 有 3 种 。 一 是 全 盘 备 份 ,即将 所 有 文件 写 入 备份 介质 ; 二 是 增 
量 备份 ,只 备份 那些 上 次 备份 之 后 更 改过 的 文件 ,这 是 最 有 效 的 备份 方法 ; 三 是 差分 备 
份 ,备份 上 次 全 盘 备 份 之 后 更 改过 的 所 有 文件 ,其 优点 是 只 需 两 组 磁 介 质 就 可 恢复 最 后 一 
次 全 盘 备 份 的 数据 和 最 后 一 次 差分 备份 的 数据 。 

在 确定 备份 的 指导 思想 和 备份 方案 之 后 ,就 要 选择 安全 的 存储 媒介 和 技术 进行 数据 
备份 。 数 据 备份 有 “ 冷 备份 "和 *“ 热 备份 "两 种 。 热 备份 是 指 “ 在 线 ” 备 份 , 即 下 载 备 份 的 数 
据 还 在 整个 计算 机 系统 和 网 络 中 ,只 不 过 传 到 另 一 个 非 工作 的 分 区 或 是 男 一 个 非 实时 处 
理 的 业务 系统 中 存放 。"“ 冷 备份 "是 指 “ 不 在 线 ” 的 备份 ,下 载 的 备份 存放 到 安全 的 存储 媒 
介 中 ,而 这 种 存储 媒介 与 正在 运行 的 整个 计算 机 系统 和 网 络 没 有 直接 联系 ,在 系统 恢复 时 
重新 安装 ,有 一 部 分 原始 的 数据 长 期 保存 并 作为 查询 使 用 。 热 备份 的 特点 是 调用 快 ,使 用 
方便 ,在 系统 恢复 中 需要 反复 调试 时 更 显 优势 。 其 具体 做 法 是 : 可 以 在 主机 系统 开辟 一 
块 非 工作 运行 空间 ,专门 存放 备份 数据 , 即 分 区 备份 。 另 一 种 方法 是 ,将 数据 备份 到 另 一 
个 子 系统 中 ,通过 主机 系统 与 子 系统 之 间 的 传输 ,该 方法 具有 速度 快 和 调用 方便 的 特点 ， 
但 投资 比较 昂贵 。 冷 备份 弥补 了 热 备份 的 一 些 不 足 , 二 者 优势 互补 ,相辅相成 ,因为 冷 备 
份 在 回避 风险 中 还 具有 便于 保管 的 特殊 优点 。 


7.2.3 信息 安全 


信息 安全 主要 涉及 鉴别 .信息 传 输 的 安全 ,信息 存储 的 安全 以 及 对 网 络 传输 信息 内 容 
的 审计 等 方面 。 


1. 鉴别 


鉴别 是 对 网 络 中 的 主体 进行 验证 的 过 程 , 通 常 有 3 种 方法 验证 主体 身份 。 

(1) 只 有 该 主体 了 解 的 秘密 ,如 密码 、 密 钥 等 

密码 是 相互 约定 的 代码 ,假设 只 有 用 户 和 系统 知道 。 密 码 有 时 由 用 户 选择 ,有 时 由 系 
统 分 配 。 通 常情 况 下 ,用户 先 输入 某 种 标志 信息 ,比如 用 户 名 和 ID 号 ,然后 系统 询问 用 户 
密码 。 若 密码 与 用 户 文件 中 的 相 匹配 ,用户 即 可 进入 访问 。 密 码 有 多 种 ,如 一 次 性 密码 ， 
系统 生成 一 次 性 密码 的 清单 ,第 一 次 时 必须 使 用 X, 第 二 次 时 必须 使 用 Y, 第 三 次 时 用 Z， 
这 样 一 直下 去 。 还 有 基于 时 间 的 密码 , 即 访问 使 用 的 正确 密码 随时 间 变 化 ,变化 基于 时 间 
和 一 个 秘密 的 用 户 钥匙 。 这 样 密码 每 分 钟 都 在 改变 ,使 其 更 加 难以 猜测 。 

(2) 主体 携带 的 物品 ,如 智能 卡 和 令 牌 卡 等 

智能 卡 大 小 形 如 信用 卡 ,一 般 由 微 处 理 器 、 存 储 器 及 输入 、 输 出 设施 构成 。 微 处 理 器 
可 计算 该 卡 的 一 个 唯一 数 (ID) 和 其 他 数据 的 加 密 形 式 。ID 保证 卡 的 真实 性 , 持 卡 人 就 可 
访问 系统 。 为 防止 智能 卡 遗 失 或 被 窃 , 许 多 系统 需要 卡 和 身份 识别 码 (PIN) 同 时 使 用 。 
若 仅 有 卡 而 不 知 PIN 码 , 则 不 能 进入 系统 。 智 能 卡 比 传统 的 密码 鉴别 方法 更 好 ,但 其 扒 
带 不 方便 ,上 且 开户 费用 较 高 。 
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(3) 只 有 该 主体 具有 的 独一无二 的 特征 或 能 力 , 如 指纹 声音、 视网膜 或 签字 等 
利用 个 人 特征 进行 鉴别 的 方式 具有 很 高 的 安全 性 。 目 前 已 有 的 设备 包括 : 视网膜 扫 
描 仪 声音 验证 设备 、 手 型 识别 器 等 。 


2. 数据 传输 安全 系统 


数据 传输 加 密 技术 的 目的 是 对 传输 中 的 数据 流 加 密 ,以 防止 通信 线路 上 的 窃听 、 泄 
露 \ 自 改 和 破坏 。 如 果 以 加 密实 现 的 通信 层次 来 区 分 ,加 密 可 以 在 通信 的 3 个 不 同 层次 上 
实现 , 即 链 路 加 密 ( 位 于 OSI 网 络 层 以 下 的 加 密 )、 结 点 加 密 及 端 到 端 加 密 ( 传 输 前 对 文件 
加 密 , 位 于 OSI 网 络 层 以 上 的 加 密 ) 。 

一 般 常 用 的 是 链 路 加 密 和 端 到 端 加 密 这 两 种 方式 。 链 路 加 密 侧重 在 通信 和 链 路 上 而 不 
考虑 信 源 和 信 宿 ,是 对 保密 信息 通过 各 链 路 采用 不 同 的 加 密 密 钥 提供 安全 保护 。 链 路 加 
密 是 面向 结 点 的 ,对 于 网 络 高 层 主体 是 透明 的 , 它 对 高 层 的 协议 信息 (地 址 、 查 错 、 帧 头 帧 
尾 ) 都 加 密 , 因 此 数据 在 传输 中 是 密 文 的 ,但 在 中 央 结 点 必须 解密 得 到 路 由 信息 。 端 到 端 
加 密 则 指 信息 由 发 送 端 自动 加 密 , 并 进入 TCP/IP 数据 包 回 封 , 然 后 作为 不 可 阅读 和 不 可 
识别 的 数据 穿 过 互联 网 , 当 这 些 信息 一 旦 到 达 目 的 地 ,将 自动 重组 ,解密 ,成 为 可 读数 据 。 
端 到 端 加 密 是 面向 网 络 高 层 主体 的 , 它 不 对 下 层 协议 进行 信息 加 密 , 协 议 信息 以 明文 形式 
传输 ,用 户 数据 在 中 央 结 点 不 需 解 密 。 

目前 ,对 于 动态 传输 的 信息 ,许多 协议 确保 信息 完整 性 的 方法 大 多 是 收 错 重 传 . 丢 弃 
后 续 包 的 办 法 ,但 黑客 的 攻击 可 以 改变 信息 包 内 部 的 内 容 , 所 以 应 采取 有 效 的 措施 来 进行 
完整 性 控制 。 常 用 的 数据 完整 性 鉴别 技术 有 以 下 5 种 : 

(1) 报 文 鉴别 

它 与 数据 链 路 层 的 CRC 控制 类 似 , 将 报 文 名 字段 (或 域 ) 使 用 一 定 的 操作 组 成 一 个 约 
束 值 , 称 为 该 报 文 的 完整 性 检测 向 量 (integrated check vector,ICV) ,然后 将 它 与 数据 封 
装 在 一 起 进行 加 密 。 传 输 过 程 中 由 于 侵入 者 不 能 对 报 文 解密 ,所 以 也 就 不 能 同时 修改 数 
据 并 计算 新 的 ICV ,这 样 ,接收 方 收 到 数据 后 解密 并 计算 ICV , 若 与 明文 中 的 ICV 不 同 ， 
则 认为 此 报 文 无 效 。 

(2) 校 验 和 

一 个 最 简单 易 行 的 完整 性 控制 方法 是 使 用 校 验 和 , 即 计 算出 该 文件 的 校 验 和 值 并 与 
上 次 计算 出 的 值 比 较 。 若 相等 ,说明 文件 没有 改变 ; 若 不 等 , 则 说 明文 件 可 能 被 未 察觉 的 
行为 改变 了 。 校 验 和 方式 可 以 查 错 , 但 不 能 保护 数据 。 

(3) 加 密 校 验 和 

将 文件 分 成 小 快 , 对 每 一 块 计算 CRC 校 验 值 , 然 后 再 将 这 些 CRC 值 加 起 来 作为 校 验 
和 。 只 要 运用 恰当 的 算法 ,这 种 完整 性 控制 机 制 几乎 无 法 攻破 。 但 这 种 机 制 运算 量 大 ,并 
且 昂 贵 ,只 适用 于 那些 完整 性 要 求 保护 极 高 的 情况 。 

(4) 消息 完整 性 编码 

使 用 简单 单 向 散 列 函 数 计算 消息 的 摘要 ,连同 信息 发 送 给 接收 方 ,接收 方 重新 计算 摘 
要 ,并 进行 比较 验证 信息 在 传输 过 程 中 的 完整 性 。 这 种 散 列 函数 的 特点 是 任何 两 个 不 同 
的 输入 不 可 能 产生 两 个 相同 的 输出 ,因此 ,一 个 被 修改 的 文件 不 可 能 有 同样 的 散 列 值 。 单 
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向 散 列 函 数 能 够 在 不 同 的 系统 中 高 效 实现 。 

(5) 防 抵赖 技术 

它 包 括 对 源 和 目的 地 双方 的 证 明 , 常 用 方法 是 数字 签名 。 数 字 签 名 采用 一 定 的 数据 
交换 协议 ,使 得 通信 双方 能 够 满足 两 个 条 件 : 接收 方 能 够 鉴别 发 送 方 所 宣称 的 身份 发送 
方 以 后 不 能 否认 他 发 送 过 数据 这 一 事实 。 比 如 ,通信 的 双方 采用 公 钥 体制 ,发 送 方 使 用 接 
收 方 的 公 钥 和 自己 的 私 钥 加 密 的 信息 ,只 有 接收 方 凭 借 自 己 的 私 钥 和 发 送 方 的 公 钥 解 密 
之 后 才能 读 懂 , 而 对 于 接收 方 的 回执 也 是 同样 道理 。 男 外 实现 防 抵 赖 的 途径 还 有 : 采用 
可 信 第 三 方 的 权 标 、 使 用 时 间 戳 .采用 一 个 在 线 的 第 三 方 . 数 字 签 名 与 时 间 截 相 结合 等 。 


3. 数据 存储 安全 系统 


在 计算 机 信息 系统 中 存储 的 信息 主要 包括 纯粹 的 数据 信息 和 各 种 功能 文件 信息 两 大 
类 。 对 纯粹 数据 信息 的 安全 保护 ,以 数据 库 信 息 的 保护 最 为 典型 ; 而 对 各 种 功能 文件 的 
保护 ,终端 安全 则 很 重要 。 

对 数据 库 系统 所 管理 的 数据 和 资源 提供 安全 保护 ,一 般 包 括 以 下 几 点 。 

@ 物理 完整 性 , 即 数据 能 够 免 于 物理 方面 破坏 的 问题 ,如 掉 电 、 火 灾 等 。 

@ 迪 辑 完整 性 ,能 够 保持 数据 库 的 结构 ,如 对 一 个 字段 的 修改 不 至 于 影响 其 他 字段 。 

@ 元 素 完整 性 ,包括 在 每 个 元 素 中 的 数据 是 准确 的 。 

@ 数据 的 加 密 。 

@ 用 户 鉴别 ,确保 每 个 用 户 被 正确 识别 ,避免 非法 用 户 入 侵 。 

@ 可 获得 性 , 指 用 户 一 般 可 访问 数据 库 和 所 有 授权 访问 的 数据 。 

@ 可 审计 性 ,能 够 追踪 到 谁 访问 过 数据 库 。 

要 实现 对 数据 库 的 安全 保护 ,一 种 选择 是 安全 数据 库 系 统 , 即 从 系统 的 设计 实现、 使 
用 和 管理 等 各 个 阶段 都 要 遵循 一 套 完 整 的 系统 安全 策略 ; 二 是 以 现 有 数据 库 系统 所 提供 
的 功能 为 基础 ,构造 安全 模块 , 旨 在 增强 现 有 数据 库 系 统 的 安全 性 。 

终端 安全 主要 解决 微机 信息 的 安全 保护 问题 ,一 般 的 安全 功能 如 下 : 基于 密码 或 密 
码 算法 的 身份 验证 ,防止 非法 使 用 机 器 ; 自主 和 强制 存 取 控制 ,防止 非法 访问 文件 ; 多 级 
权限 管理 ,防止 越权 操作 ; 存储 设备 安全 管理 ,防止 非法 软盘 复制 和 硬盘 启动 ; 数据 和 程 
序 代码 加 密 存储 ,防止 信息 被 窃 ; 预防 病毒 ,防止 病毒 侵袭 ; 严格 的 审计 跟踪 ,便于 追查 
责任 事故 。 


4. 信息 内 容 审计 系统 

实时 对 进出 内 部 网 络 的 信息 进行 内 容 审计 ,可 防止 或 追查 可 能 的 泄密 行为 。 因 此 ,为 
了 满足 国家 保密 法 的 要 求 ,在 某 些 重要 或 涉 密 网 络 ,应 该 安装 使 用 此 系统 。 

7.2.4 安全 管理 


面 对 网 络 安全 的 脆弱 性 ,除了 在 网 络 设计 上 增加 安全 服务 功能 ,完善 系统 的 安全 保密 
措施 外 ,还 必须 花 大 力气 加 强 网 络 的 安全 管理 ,因为 诸多 的 不 安全 因素 恰恰 反映 在 组 织 管 
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理 和 人 员 使 用 等 方面 ,而 这 又 是 计算 机 网 络 安全 所 必须 考虑 的 基本 问题 ,应 引起 各 计算 机 
网 络 应 用 部 门 的 重视 。 


1. 安全 管理 的 原则 


网 络 信息 系统 的 安全 管理 主要 基于 以 下 3 个 原则 。 

(1) 多 人 负责 原则 

每 一 项 与 安全 有 关 的 活动 ,都 必须 有 两 人 或 多 人 在 场 。 这 些 人 应 是 系统 主管 领导 指 
派 的 ,他 们 忠诚 可 靠 并 能 胜任 此 项 工作 。 他 们 应 该 签署 工作 情况 记录 以 证 明 安全 工作 已 
得 到 保障 。 以 下 各 项 是 与 安全 有 关 的 活动 : 

。 访问 控制 使 用 证 件 的 发 放 与 回收 。 

。 信息 处 理 系统 使 用 的 媒介 发 放 与 回收 。 

。 处 理 保 密 信息 。 

。 硬件 和 软件 的 维护 。 

。 系统 软件 的 设计 ,实现 和 修改 。 

。 要 程序 和 数据 的 删除 和 销毁 等 。 

(2) 任期 有 限 原 则 

一 般 来 讲 ,任何 人 都 不 要 长 期 担任 与 安全 有 关 的 职务 ,以 免 使 他 认为 这 个 职务 是 专 有 
的 或 永久 性 的 。 为 遵循 任期 有 限 原则 ,工作 人 员 应 不 定期 地 循环 任职 ,强制 实行 休假 制 
度 ,并 规定 对 工作 人 员 进 行 轮 流 培训 ,以 使 任期 有 限制 度 切 实 可 行 。 

(3) 职责 分 离 原 则 。 

在 信息 处 理 系 统 工作 的 人 员 不 要 打听 、 了 解 或 参与 职责 以 外 的 任何 与 安全 有 关 的 事 
情 ,除非 系统 主管 领导 批准 。 出 于 对 安全 的 考虑 ,下 面 每 组 内 的 两 项 信息 处 理工 作 应 当 
分 开 。 

。 计算 机 操作 与 计算 机 编程 。 
机 密 资 料 的 接收 和 传送 。 
安全 管理 和 系统 管理 。 
。 应 用 程序 和 系统 程序 的 编制 。 
。 访问 证 件 的 管理 与 其 他 工作 。 
计算 机 操作 与 信息 处 理 系 统 使 用 媒介 的 保管 等 。 


2. 安全 管理 的 实现 


信息 系统 的 安全 管理 部 门 应 根据 管理 原则 和 该 系统 处 理 数据 的 保密 性 ,制定 相应 
i a A 
。 根 据 工作 的 重要 程度 确定 该 系统 的 安全 等 级 。 
。 根据 安全 等 级 确定 安全 管理 的 范围 。 
。 制定 相应 的 机 房 出 入 管理 制度 。 对 于 安全 等 级 要 求 较 高 的 系统 ,要 实行 分 区 控 
制 ,限制 工作 人 员 出 入 与 己 无 关 的 区 域 。 出 入 管理 可 采用 证 件 识 别 或 安装 自动 识 
别 登 记 系统 ,采用 磁卡 、 身 份 卡 等 手段 对 人 员 进 行 识别 、 登 记 管理 。 
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。 制定 严格 的 操作 规程 。 操 作 规程 要 根据 职责 分 离 和 多 人 负责 的 原则 ,各 负 其 责 ， 
不 能 超越 自己 的 管辖 范围 。 

。 制定 完备 的 系统 维护 制度 。 对 系统 进行 维护 时 ,应 采取 数据 保护 措施 ,如 数据 备 
份 等 。 维 护 时 要 首先 经 主管 部 门 批准 ,并 有 安全 管理 人 员 在 场 ,故障 的 原因 、 维 护 
内 容 和 维护 前 后 的 情况 要 详细 记录 。 

。 制定 应 急 措施 。 要 制定 系统 在 紧急 情况 下 ,如 何 尽快 恢复 的 应 急 措施 ,使 损失 减 
至 最 小 。 建 立 人 员 雇 用 和 解聘 制度 ,对 工作 调动 和 离职 人 员 要 及 时 调整 相应 的 
授权 。 


7.3 计算 机 网 络 安全 技术 


计算 机 网 络 安全 技术 是 在 与 网 络 攻击 的 对 抗 中 不 断 发 展 的 , 它 大 致 经 历 了 从 静态 到 
动态 、 从 被 动 防范 到 主动 防范 的 发 展 过程 。 下 面 对 一 些 常见 的 计算 机 网 络 安全 技术 进行 
说 明 。 


7.3.1 数据 加 密 技术 


数据 加 密 技术 是 最 基本 的 计算 机 网 络 安全 技术 ,被 誉 为 信息 安全 的 核心 ,最 初 主要 用 
于 保证 数据 在 存储 和 传输 过 程 中 的 保密 性 。 它 通过 变换 和 置换 等 各 种 方法 将 被 保护 信息 
置换 成 密 文 ,然后 再 进行 信息 的 存储 或 传输 ,即使 加 密 信息 在 存储 或 者 传输 过 程 为 非 授权 
人 员 所 获得 ,也 可 以 保证 这 些 信息 不 为 其 认 知 ,从 而 达到 保护 信息 的 目的 。 该 方法 的 保密 
性 直接 取决 于 所 采用 的 密码 算法 和 密 钥 长 度 。 

根据 密 钥 类 型 不 同 可 以 将 现代 密码 技术 分 为 两 类 : 对 称 加 密 算 法 ( 私 钥 密 码 体系 ) 和 
非 对称 加 密 算法 ( 公 钥 密码 体系 ) 。 目 前 最 著名 的 对 称 加 密 算法 有 数据 加 密 标 准 (DES) 和 
欧洲 数据 加 密 标准 (IDEA) 等 , 非 对 称 算法 的 代表 有 RSA 算法 等 。 在 实际 应 用 中 ,通常 将 
对 称 加 密 算 法 和 非 对称 加 密 算法 结合 使 用 。 


7.3.2 ”防火墙 技术 


防火 墙 系统 是 一 种 计算 机 网 络 安全 部 件 , 它 可 以 是 硬件 ,也 可 以 是 软件 ,也 可 能 是 硬 
件 和 软件 的 结合 。 这 种 安全 部 件 处 于 被 保护 网 络 和 其 他 网 络 的 边界 ,接收 进出 被 保护 网 
络 的 数据 流 , 并 根据 防火 墙 所 配置 的 访问 控制 策略 进行 过 滤 或 做 出 其 他 操作 。 防 火 墙 系 
统 不 仅 能 够 保护 网 络 资源 不 受 外 部 的 侵入 ,而 且 还 能 够 拦截 从 被 保护 网 络 向 外 传送 有 价 
值 的 信息 。 防 火 墙 系统 可 以 用 于 内 部 网 络 与 Internet 之 间 的 隔离 ,也 可 用 于 内 部 网 络 不 
同 网 段 的 隔离 ,后 者 通常 称 为 Intranet 防火 墙 。 

目前 的 防火 墙 系统 根据 其 实现 的 方式 大 致 可 分 为 两 种 , 即 包 过 滤 防 火 墙 和 应 用 层 网 关 。 
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包 过 滤 防 火 墙 的 主要 功能 是 接收 被 保护 网 络 和 外 部 网 络 之 间 的 数据 包 , 根 据 防火 墙 的 访问 
控制 策略 对 数据 包 进行 过 滤 , 只 准许 授权 的 数据 包 通 行 。 应 用 层 网 关 位 于 TCP/IP 协议 
的 应 用 层 , 实 现 对 用 户 身 份 的 验证 ,接收 被 保护 网 络 和 外 部 之 间 的 数据 流 并 对 之 进行 
检查 。 


7.3.3 计算 机 网 络 安全 扫描 技术 


计算 机 网 络 安全 扫描 技术 是 为 使 系统 管理 员 能 够 及 时 了 解 系统 中 存在 的 安全 漏洞 ， 
并 采取 相应 防范 措施 ,降低 系统 的 安全 风险 而 发 展 起 来 的 一 种 安全 技术 。 利 用 安全 扫描 
技术 ,通过 对 局 域 网 络 、Web 站 点 .主机 操作 系统 .系统 服务 以 及 防火 墙 系统 的 安全 漏洞 
进行 扫描 ,系统 管理 员 可 以 了 解 在 运行 的 网 络 系统 中 存在 的 不 安全 网 络 服务 ,在 操作 系统 
上 存在 的 可 能 导致 遭受 缓冲 区 溢出 攻击 或 者 拒绝 服务 攻击 的 安全 漏洞 ,还 可 以 检测 主机 
系统 中 是 否 被 安装 了 窃听 程序 ,防火 墙 系统 是 否 存在 安全 漏洞 和 配置 错误 等 。 

(1) 网 络 远程 安全 扫描 

在 计算 机 网 络 安全 扫描 软件 中 ,有 很 多 都 是 针对 网 络 的 远程 安全 扫描 ,这 些 扫描 软件 
能 够 对 远程 主机 的 安全 漏洞 进行 检测 并 进行 一 些 初 步 的 分 析 。 但 事实 上 ,由 于 这 些 软件 
能 够 对 安全 漏洞 进行 远程 的 扫描 ,因而 也 是 网 络 攻击 者 进行 攻击 的 有 效 工 具 。 网 络 攻击 
者 利用 这 些 扫描 软件 对 目标 主机 进行 扫描 ,检测 目标 主机 上 可 以 利用 的 安全 性 弱点 ,并 以 
此 为 基础 实施 网 络 攻击 。 这 也 从 另 一 角度 说 明了 计算 机 网 络 安全 扫描 技术 的 重要 性 ,网 
络 管理 员 应 该 合理 利用 安全 扫描 软件 ,及 时 发 现 网 络 漏洞 并 在 网 络 攻击 者 扫描 和 利用 之 
前 予以 修补 ,从 而 提高 网 络 的 安全 性 。 

(2) 防火 墙 系统 扫描 

防火 墙 系统 是 保证 内 部 计算 机 网 络 安全 的 一 个 重要 安全 部 件 ,但 由 于 防火 墙 系统 配 
置 复杂 ,很 容易 产生 错误 的 配置 ,从 而 可 能 给 内 部 网 络 留 下 安全 漏洞 。 此 外 ,防火 墙 系统 
都 是 运行 于 特定 的 操作 系统 之 上 ,操作 系统 潜在 的 安全 漏洞 也 可 能 给 内 部 网 络 的 安全 造 
成 威胁 。 为 解决 上 述 问题 ,防火 墙 安全 扫描 软件 提供 了 对 防火 墙 系统 配置 及 其 运行 操作 
系统 的 安全 检测 ,通常 通过 源 端 口 . 源 路 由 ,SOCKS 和 TCP 端口 猜测 攻击 等 潜在 的 防火 
墙 安全 漏洞 进行 模拟 测试 ,来 检查 其 配置 的 正确 性 ,并 通过 模拟 强力 攻击 .拒绝 服务 攻击 
等 来 测试 操作 系统 的 安全 性 。 

(3) Web 网 站 扫描 

Web 站 点 上 运行 的 CGI 程序 的 安全 性 是 计算 机 网 络 安全 的 重要 保障 之 一 ,此 外 
Web 服务 器 上 运行 的 其 他 一 些 应 用 程序 、Web 服务 器 配置 的 错误 、 服 务 器 上 运行 的 一 些 
相关 服务 以 及 操作 系统 存在 的 漏洞 都 可 能 是 Web 站 点 存在 的 安全 风险 。Web 站 点 安全 
扫描 软件 就 是 通过 检测 操作 系统 .Web 服务 器 的 相关 服务 .CGI 等 应 用 程序 以 及 Web 服 
务 器 的 配置 ,报告 Web 站 点 中 的 安全 漏洞 并 给 出 修补 措施 。Web 站 点 管理 员 可 以 根据 
这 些 报告 对 站 点 的 安全 漏洞 进行 修补 从 而 提高 Web 站 点 的 安全 性 。 

(4) 系统 安全 扫描 

系统 安全 扫描 技术 通过 对 目标 主机 操作 系统 的 配置 进行 检测 ,报告 其 安全 漏洞 并 给 
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出 一 些 建议 或 修补 措施 。 与 远程 网 络 安全 软件 从 外 部 对 目标 主机 的 各 个 端口 进行 安全 扫 
描 不 同 , 系 统 安全 扫描 软件 从 主机 系统 内 部 对 操作 系统 各 个 方面 进行 检测 ,因而 很 多 系统 
扫描 软件 都 需要 其 运行 者 具有 超级 用 户 的 权限 。 系 统 安全 扫描 软件 通常 能 够 检查 潜在 的 
操作 系统 漏洞 ` 不 正确 的 文件 属性 和 权限 设置 .脆弱 的 用 户 密码 、 网 络 服务 配置 错误 ,操作 
系统 底层 非 授权 的 更 改 以 及 攻击 者 攻破 系统 的 迹象 等 。 


7.3.4 网 络 入侵 检 测 技术 


网 络 入 侵 检测 技术 也 称 网 络 实 时 监控 技术 , 它 通过 硬件 或 软件 对 网 络 上 的 数据 流 进 
行 实时 检查 ,并 与 系统 中 的 入 侵 特征 数据 库 进行 比较 ,一 旦 发 现 有 被 攻击 的 迹象 ,立刻 根 
据 用 户 所 定义 的 动作 做 出 反应 ,如 切断 网 络 连接 ,或 通知 防火 墙 系统 对 访问 控制 策略 进行 
调整 ,将 入 侵 的 数据 包 过 滤 掉 等 。 

网 络 入 侵 检测 技术 的 特点 是 利用 网 络 监控 软件 或 者 硬件 对 网 络 流量 进行 监控 并 分 
析 , 及 时 发 现 网 络 攻 击 的 迹象 并 做 出 反应 。 入 侵 检 测 部 件 可 以 直接 部 署 于 受 监控 网 络 的 
广播 网 段 , 或 者 直接 接收 受 监 控 网 络 旁 路 过 来 的 数据 流 。 为 了 更 有 效 地 发 现 网 络 受 攻击 
的 迹象 ,网 络 入侵 检 测 部 件 应 能 够 分 析 网 络 上 使 用 的 各 种 网 络 协 议 ,识别 各 种 网 络 攻击 行 
为 。 网 络 入 侵 检 测 部 件 对 网 络 攻击 行为 的 识别 通常 是 通过 网 络 入 侵 特征 库 实 现 的 ,这 种 
方法 有 利于 在 出 现 了 新 的 网 络 攻击 手段 时 方便 地 对 入 侵 特 征 库 加 以 更 新 ,提高 人 侵 检测 
部 件 对 网 络 攻击 行为 的 识别 能 力 。 

利用 网 络 人 侵 检 测 技术 可 以 实现 网 络 安全 检测 和 实时 攻击 识别 ,但 它 只 能 作为 网 络 
安全 的 一 个 重要 安全 组 件 。 网 络 系统 的 实际 安全 实现 应 该 结合 使 用 防火 墙 等 技术 来 组 成 
一 个 完整 的 计算 机 网 络 安全 解决 方案 ,其 原因 在 于 网 络 入 侵 检 测 技术 虽然 也 能 对 网 络 攻 
击 进行 识别 并 做 出 反应 ,但 其 侧重 点 还 是 在 于 发 现 , 而 不 能 代替 防火 墙 系统 执行 整个 网 络 
的 访问 控制 策略 。 防 火 墙 系统 能 够 将 一 些 预期 的 网 络 攻击 阻挡 于 网 络 外 面 ,而 网 络 人 侵 
检测 技术 除了 减 小 网 络 系统 的 安全 风险 之 外 ,还 能 对 一 些 非 预期 的 攻击 进行 识别 并 做 出 
反应 ,切断 攻击 连接 或 通知 防火 墙 系统 修改 控制 准则 ,将 下 一 次 的 类 似 攻击 阻挡 于 网 络 外 
部 。 因 此 通过 网 络 安全 检测 技术 和 防火 墙 系统 结合 ,可 以 实现 一 个 完整 的 计算 机 网 络 安 
全 解决 方案 。 


7.3.5 黑客 诱骗 技术 


黑客 诱骗 技术 通过 一 个 由 网 络 安全 专家 精心 设置 的 特殊 系统 来 引诱 黑客 ,并 对 黑客 
进行 跟踪 和 记录 。 这 种 黑客 诱骗 系统 通常 也 称 为 蜜 钠 (honey pot) 系统 ,其 最 重要 的 功能 
是 特殊 设置 的 对 于 系统 中 所 有 操作 的 监视 和 记录 ,网 络 安全 专家 通过 精心 的 伪装 使 得 黑 
客 在 进入 目标 系统 后 , 仍 不 知晓 自己 所 有 的 行为 已 处 于 系统 监视 之 中 。 为 了 吸引 黑客 ,网 
络 安全 专家 通常 还 在 蜜 饶 系 统 上 故意 留 下 一 些 安全 后 门 来 吸引 黑客 上 钧 ,或 者 放置 一 些 
网 络 攻击 者 希望 得 到 的 敏感 信息 ,当然 这 些 信 息 都 是 虚假 信息 。 这 样 , 当 黑客 正在 为 攻 入 
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目标 系统 而 沾沾自喜 的 时 候 ,. 他 在 目标 系统 中 的 所 有 行为 ,包括 输入 的 字符 ,执行 的 操作 
等 ,都 已 经 被 蜜 镀 系 统 所 记录 。 蜜 摊 系统 管理 人 员 通 过 研究 和 分 析 这 些 记录 ,可 以 知道 黑 
客 采用 的 攻击 工具 、 攻 击 手段 .攻击 目的 和 攻击 水 平 ,通过 分 析 黑 客 的 网 上 聊天 内 容 还 可 
以 获得 黑客 的 活动 范围 以 及 下 一 步 的 攻击 目标 。 根 据 这 些 信 息 , 管 理 人 员 可 以 提前 对 系 
统 进行 保护 ,同时 在 蜜 钢 系 统 中 记录 下 的 信息 还 可 以 作为 对 黑客 进行 起 诉 的 证 据 。 


7.4 防火 墙 


网 络 的 安全 保护 强调 统一 而 集中 的 安全 管理 和 控制 ,采取 加 密 、 认 证 ,访问 控制 审计 
以 及 日 志 等 多 种 技术 手段 , 且 它 们 的 实施 可 由 通信 双方 共同 完成 。 但 由 于 Internet 是 一 
个 开放 式 的 全 球 性 网 络 ,其 结构 错综复杂 ,网 上 的 浏览 访问 不 仅 使 数据 传输 量 增加 ,也 增 
大 了 网 络 被 攻击 的 可 能 性 。 因 此 ,涉及 Internet 的 安全 技术 应 是 传统 的 集中 式 安 全 控制 
和 分 布 式 安全 控制 相 结合 的 技术 。 于 是 ,人 们 创建 了 网 络 防火 墙 。 就 像 建筑 物 防 火 墙 或 
护城河 能 够 保护 建筑 物 及 其 内 部 资源 安全 或 保护 城市 免 受 侵害 一 样 ,网 络 防火 墙 能 够 防 
止 外 部 网 上 的 各 种 危害 侵入 到 内 部 网 络 。 

目前 ,防火 墙 已 在 Internet 上 得 到 了 广泛 的 应 用 , 且 由 于 具有 不 限于 TCP/IP 协议 的 
特点 ,也 使 其 逐步 在 Internet 之 外 更 具 生 命 力 。 客 观 地 讲 , 防 火 墙 并 不 是 解决 计算 机 网 络 
安全 问题 的 万 能 药方 ,而 只 是 计算 机 网 络 安全 策略 中 的 一 个 组 成 部 分 。 但 了 解 防火 墙 技 
术 并 学 会 在 实际 操作 中 应 用 ,相信 会 在 “网 络 经 济 ” 社 会 的 工作 和 生活 中 使 每 一 位 网 络 用 
户 都 受益 菲 浅 。 


7.4.1 防火 墙 概述 


1. 防火 墙 的 概念 


防火 墙 的 本 义 原 是 指 古代 人 们 在 房屋 之 间 修 建 的 一 道 墙 , 这 道 墙 可 以 在 火灾 发 生 的 
时 候 防 止 火 草 延 到 别 的 房屋 。 而 这 里 所 说 的 网 络 防火 墙 当 然 不 是 指 物理 上 的 防火 墙 ,而 
是 指 隔 离 在 本 地 网 络 与 外 界 网 络 之 间 的 一 道 防御 系统 。 应 该 说 ,在 互联 网 上 防火 墙 是 一 
种 非常 有 效 的 网 络 安全 措施 ,通过 它 可 以 隔离 风险 区 域 (Internet 或 有 一 定 风险 的 网 络 ) 
与 安全 区 域 ( 企 业内 部 网 ,也 可 称 为 可 信任 网 络 ) 的 连接 ,同时 不 会 妨碍 人 们 对 风险 区 域 的 
访问 。 

网 络 防火 墙 就 是 指 在 企业 内 部 网 (Intranet) 和 外 部 网 (Internet) 之 间 所 设立 的 执行 访 
问 控制 策略 的 安全 系统 。 它 在 内 部 网 Intranet 和 外 部 网 Internet 之 间 设 置 控制 ,以 防止 
发 生 不 可 预测 的 、 外 界 对 内 部 网 资源 的 非法 访问 或 潜在 破坏 性 的 侵入 。 它 是 目前 实现 计 
算 机 网 络 安全 策略 的 最 有 效 的 工具 之 一 ,也 是 控制 外 部 用 户 访 问 内 部 网 的 第 一 道 关 口 。 
防火 墙 的 设置 思想 就 是 在 内 部 、 外 部 两 个 网 络 之 间 建 立 一 个 具有 安全 控制 机 制 的 安全 控 
制 点 ,通过 允许 ,拒绝 或 重新 定向 经 过 防火 墙 的 数据 流 , 来 实现 对 内 部 网 服务 和 访问 的 安 
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全 审计 和 控制 。 需 要 指出 的 是 ,防火 墙 虽然 可 以 在 一 定 程度 上 保护 内 部 网 的 安全 ,但 内 部 
网 还 应 有 其 他 的 安全 保护 措施 ,这 是 防火 墙 所 不 能 代替 的 。 

防火 墙 技术 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 性 安全 技术 ， 
越 来 越 多 地 被 应 用 于 专用 网 络 与 公用 网 络 的 互联 环境 中 ,尤其 以 接 入 Internet 网 络 最 甚 。 
防火 墙 可 通过 监测 .控制 跨越 防火 墙 的 数据 流 , 尽 可 能 地 对 外 界 屏蔽 内 部 网 络 的 信息 、 结 
构 和 运行 状况 ,以 此 来 实现 内 部 网 络 的 安全 保护 。 

防火 墙 可 由 计算 机 硬件 和 软件 系统 组 成 。 通 常情 况 下 ,内 部 网 和 外 部 网 进行 互 连 时 ， 
必须 使 用 一 个 中 间 设 备 ,这 个 设备 既 可 以 是 专门 的 互 连 设备 (如 路 由 器 或 网 关 ) ,也 可 以 是 
网 络 中 的 某 个 节点 (如 一 台 主 机 )。 这 个 设备 至 少 具有 两 条 物理 链 路 ,一 条 通 往外 部 网 络 ， 
一 条 通 往 内 部 网 络 。 企 业 用 户 希 望 与 其 他 用 户 通信 时 ,信息 必须 经 过 该 设备 ; 同样 ,其 他 
用 户 希 望 访问 企业 网 时 ,也 必须 经 过 该 设备 。 显 然 , 该 设备 是 阻挡 攻击 者 入侵 的 关口 ,也 
是 防火 墙 设 置 的 理想 位 置 。 

防火 墙 的 作用 是 防止 不 希望 的 .未 授权 的 通信 进出 受 保护 的 网 络 , 从 而 使 机 构 强化 自 
己 的 计算 机 网 络 安全 政策 。 由 于 防火 墙 设 定 了 网 络 边界 和 服务 ,因此 更 适合 于 相对 独立 
的 网 络 , 如 Intranet。 事 实 上 ,在 Internet 上 的 Web 网 站 中 ,超过 1/3 的 Web 网 站 都 是 由 
某 种 形式 的 防火 墙 加 以 保护 的 。 

可 以 说 ,防火 墙 能 够 限制 非法 用 户 从 一 个 被 严格 保护 的 设备 上 进入 或 离开 ,从 而 有 效 
地 阻止 对 其 内 部 网 的 非法 入 侵 。 但 由 于 防火 墙 只 能 对 跨越 边界 的 信息 进行 检测 .控制 ,而 
对 网 络 内 部 人 员 的 攻击 不 具备 防范 能 力 , 因 此 单独 依靠 防火 墙 来 保护 网 络 的 安全 是 不 够 
的 ,还 必须 与 人 侵 检测 系统 (IDS)、 安 全 扫描 \ 应 急 处 理 等 其 他 安全 措施 综合 使 用 才能 达 
到 目的 。 


2. 防火 墙 的 发 展 


对 于 防火 墙 的 发 展 历史 ,基于 功能 划分 ,可 分 为 如 下 五 个 阶段 : 

第 一 代 防 火 墙 。1983 年 第 一 代 防 火 墙 技术 出 现 , 它 几乎 是 与 路 由 器 同时 间 世 的 。 它 
采用 了 包 过 滤 (packet filter) 技 术 ,可 称 为 简单 包 过 滤 ( 静 态 包 过 滤 ) 防 火 墙 。 

第 二 代 防 火 墙 。1991 年 ,贝尔 实验 室 提出 了 第 二 代 防 火 墙 一 一 应 用 型 防火 墙 , 即 电 
路 层 防 火 墙 的 初步 结构 。 

第 三 代 防 火 墙 。1992 年 , USC 信息 科学 院 开 发 出 了 基于 动态 包 过 滤 (dynamic 
packet filter) 技 术 的 第 三 代 防 火 墙 ,后 来 演变 为 目前 所 说 的 状态 检测 (stateful inspection) 
防火 墙 。1994 年 ,以 色 列 的 Check Point 公司 开发 出 了 第 一 个 采用 状态 检测 技术 的 商业 
化 产品 。 

第 四 代 防 火 墙 。 防 火 墙 技术 和 产品 随 着 网 络 攻击 和 安全 防护 手段 的 发 展 而 演进 ,到 
1997 年 初 ,具有 安全 操作 系统 的 防火 墙 产品 面世 .使 防火 墙 技术 步 人 了 第 四 代 。 具 有 安全 
操作 系统 的 防火 墙 本 身 就 是 一 个 操作 系统 ,因而 在 安全 性 上 较 之 以 前 的 防火 墙 有 质 的 提高 。 

第 五 代 防 火 墙 。1998 年 .NAI 公司 推出 了 一 种 自 适应 代理 (adaptive proxy) 防 火 墙 
技术 ,并 在 其 产品 Gauntlet Firewall for NT 中 得 以 实现 ,给 代理 服务 器 防火 墙 赋予 了 全 
新 的 意义 。 
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3. 防火 墙 的 功能 


nl 


一 般 来 说 ,防火 墙 在 配置 上 可 防止 来 自 “ 外 部 ”未 经 授权 的 交互 式 登录 ,这 大 大 有 助 
防止 破坏 者 登录 到 网 络 用 户 的 计算 机 上 。 一 些 设计 更 为 精巧 的 防火 墙 既 可 以 防止 来 自 外 
部 的 信息 流 进入 内 部 ,同时 又 允许 内 部 的 用 户 可 以 自由 地 与 外 部 通信 。 如 果 切 断 防火 墙 ， 
就 可 以 保护 用 户 免 受 网 络 上 任何 类 型 的 攻击 。 

防火 墙 另 一 个 非常 重要 的 特性 是 可 以 提供 一 个 单独 的 “阻塞 点 ”, 在 “阻塞 点 ”上 设置 
安全 和 审计 检查 。 防 火 墙 可 提供 一 种 重要 的 记录 和 审计 功能 : 经 常 向 管理 员 提 供 一 些 情 
况 概 要 ,提供 有 关 通 过 防火 墙 的 数据 流 的 类 型 和 数量 ,以 及 有 多 少 次 试图 闯 和 防火 墙 的 企 
图 等 信息 。 

利用 防火 墙 保护 内 部 网 ,主要 有 以 下 几 个 主要 功能 。 

(1) 计算 机 网 络 安全 屏障 

防火 墙 是 信息 进出 网 络 的 必 有 经 之 路 , 它 可 检测 所 有 经 过 数据 的 细节 ,并 根据 事先 定义 
好 的 策略 允许 或 禁止 这 些 数据 的 通过 。 一 个 防火 墙 ( 作 为 阻塞 点 .控制 点 ) 可 极 大 地 提高 
内 部 网 络 的 安全 性 ,并 通过 过 滤 不 安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 
用 协议 才能 通过 防火 墙 , 所 以 网 络 环境 变 得 更 安全 。 这 样 外 部 的 攻击 者 就 不 可 能 利用 这 
些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同时 可 以 保护 网 络 免 受 基于 路 由 的 攻击 。 

(2) 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 的 安全 功能 (如 口令 .加 密 、 身 份 认 
证 .审计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ,防火 墙 的 集中 
安全 管理 更 经 济 。 例 如 ,在 网 络 访问 时 ,一 次 一 密 钥 密码 系统 和 其 他 的 身份 认证 系统 完全 
可 以 不 必 分 散在 各 个 主机 上 ,而 是 集中 在 防火 墙 上 。 

(3) 对 网 络 存 取 和 访问 进行 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 ,那么 ,防火 墙 就 能 记录 下 这 些 访问 并 做 出 日 志 记录 ， 
同时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ,防火 墙 能 进行 报警 ,并 提供 
网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ,使 用 统计 手段 对 网 络 进行 需求 分 析 和 威胁 
分 析 等 也 是 非常 重要 的 。 

(4) 防止 内 部 信息 的 外 泄 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 对 内 部 网 重点 网 段 的 隔离 ,从 而 限制 局 部 
重点 或 敏感 的 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 在 内 部 网 络 中 ,不 引 人 注 意 的 细节 
可 能 包含 了 有 关 安 全 的 线索 ,而 引起 外 部 攻击 者 的 兴趣 ,甚至 因此 而 暴露 了 内 部 网 络 的 某 
些 安全 漏洞 ,使 用 防火 墙 就 可 以 隐藏 那些 内 部 细节 。 防 火 墙 同样 可 以 阻塞 有 关内 部 网 络 
的 DNS 信息 ,这 样 ,一 台 主 机 的 域名 和 IP 地 址 就 不 会 被 外 界 所 了 解 。 

(5) 安全 策略 检查 

所 有 进出 网 络 的 信息 都 必须 通过 防火 墙 ,防火 墙 成 为 网 络 上 的 一 个 安全 检查 站 ,对 来 
自 外 部 的 网 络 进 行 检 测 和 报警 ,将 检查 出 来 的 可 疑 的 访问 拒 之 网 外 。 

(6) 实施 NAT 的 理想 平台 

利用 网 络 地 址 变换 (network address translation, NAT) 技 术 , 将 有 限 的 IP 地 址 动态 
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或 静态 地 与 内 部 的 IP 地 址 对 应 起 来 ,用 来 缓解 地 址 空间 短缺 的 问题 ,并 消除 本 单位 在 变 
换 ISP 时 带 来 的 重新 编排 地 址 的 麻烦 。 防 火 墙 正 是 实施 NAT 技术 的 理想 位 置 。 


4. 防火 墙 的 局 限 性 


防火 墙 可 使 内 部 网 在 很 大 程度 上 免 受 攻击 ,但 认为 配置 了 防火 墙 之 后 ,所 有 的 网 络 安 
全 问题 就 都 迎刃而解 了 ,这 种 想法 是 错误 的 ,至 少 是 不 全 面 的 。 可 以 说 许多 危险 是 防火 墙 
所 无 能 为 力 的 , 即 防火 墙 还 存在 一 些 不 足 之 处 。 

(1) 不 能 防范 内 部 用 户 的 攻击 

防火 墙 只 能 提供 周边 防护 ,并 不 能 控制 内 部 用 户 对 内 部 网 络 滥 用 授权 的 访问 。 内 部 
用 户 可 窃取 数据 、 破 坏 硬 件 和 软件 ,并 可 巧妙 地 修改 程序 而 不 接近 防火 墙 。 内 部 用 户 攻击 
网 络 正 是 网 络 安全 最 大 的 威胁 。 统 计 表 明 ,很 多 安全 事件 是 由 于 内 部 人 员 的 攻击 所 造成 
的 ,由 内 部 引起 的 安全 问题 约 占 总 数 的 80%。 

(2) 不 能 防范 绕 过 的 攻击 

防火 墙 可 有 效 地 检查 经 由 它 进行 传输 的 信息 ,但 不 能 防止 绕 过 它 传输 的 信息 。 比 如 ， 
如 果 站 点 允许 对 防火 墙 后 面 的 内 部 系统 进行 拨号 访问 ,那么 防火 墙 就 没有 办 法 阻止 攻击 
者 进行 的 拨号 人 侵 。 

(3) 不 能 防御 所 有 的 攻击 

防火 墙 可 防御 已 知 的 威胁 。 如 果 是 一 个 很 好 的 防火 墙 设计 方案 ,可 以 防御 新 的 威胁 ， 
但 没有 一 个 防火 墙 能 够 防御 所 有 的 威胁 。 

(4) 不 能 防御 病毒 和 恶意 程序 的 攻击 

虽然 许多 防火 墙 能 扫描 所 有 通过 的 信息 ,以 决定 是 否 允 许 它们 通过 防火 墙 进入 内 部 
网 络 ,但 扫描 是 针对 源 、 目 标 地 址 和 端口 号 的 ,而 不 去 扫描 数据 的 确切 内 容 。 因 为 在 网 络 
上 传输 二 进 制 文件 的 编码 方式 太 多 ,并 且 有 太 多 的 不 同 结构 的 病毒 ,因此 防火 墙 不 可 能 查 
找 所 有 的 病毒 ,也 就 不 能 有 效 地 防范 像 病 毒 这 类 程序 的 入 侵 。 如 今 恶意 程序 发 展 迅 速 , 病 
毒 可 依附 于 共享 文档 传播 ,也 可 通过 E-mail 附件 的 形式 在 Internet 上 迅速 草 延 。Web 本 
身 就 是 一 个 病毒 源 ,许多 站 点 都 可 以 下 载 病毒 程序 甚至 源码 。 某 些 防 火 墙 可 以 根据 已 知 
病毒 和 木马 的 特征 码 检查 数据 流 ,虽然 这 样 做 会 有 些 帮助 但 并 不 可 靠 , 因 为 类 似 的 恶意 程 
序 的 种 类 很 多 ,有 多 种 手段 可 使 它们 在 数据 中 隐藏 ,防火 墙 对 那些 新 的 病毒 和 木马 程序 等 
是 无 能 为 力 的 。 此 外 ,防火 墙 只 能 发 现 从 其 他 网 络 来 的 恶意 程序 ,但 许多 病毒 却 是 通过 被 
感染 的 软盘 或 系统 直接 进入 网 络 的 。 所 以 ,对 病毒 等 恶意 程序 十 分 敏感 的 单位 应 当 在 整 
个 机 构 范 围 内 采取 病毒 控制 措施 。 


5. 防火 墙 的 分 类 


防火 墙 有 多 种 分 类 标准 , 按 不 同 的 标准 可 将 防火 墙 分 为 多 种 类 型 。 

(1) 基于 防火 墙 技术 原理 分 类 

互联 网 采用 TCP/IP 协议 ,在 不 同 的 网 络 层 次 上 设置 不 同 的 屏障 ,构成 不 同类 型 的 防 
火 墙 。 因 此 ,从 工作 原理 角度 看 ,防火 墙 技术 主要 可 分 为 网 络 层 防 火 墙 技术 和 应 用 层 防 火 
墙 技术 。 这 两 个 层次 的 防火 墙 技术 的 具体 实现 有 包 过 滤 防 火 墙 , 代 理 服务 器 防火 墙 , 状 态 
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检测 防火 墙 和 自 适应 代理 防火 墙 等 。 

(2) 基于 防火 墙 硬件 环境 分 类 

根据 实现 防火 墙 的 硬件 环境 不 同 ,可 将 防火 墙 分 为 基于 路 由 器 的 防火 墙 和 基于 主机 
系统 的 防火 墙 。 包 过 滤 防 火 墙 和 状态 检测 防火 墙 可 以 基于 路 由 器 ,也 可 基于 主机 系统 实 
现 ; 而 代理 服务 器 防火 墙 只 能 基于 主机 系统 实现 。 

(3) 基于 防火 墙 的 功能 分 类 

根据 防火 墙 的 功能 不 同 , 可 将 防火 墙 分 为 FTP 防火 墙 、Telnet 防火 墙 \.E-mail 防火 
墙 \ 病 毒 防火 增 \ 个 人 防火 墙 等 各 种 专用 防火 墙 。 通 常 也 将 几 种 防火 墙 技 术 组 合 在 一 起 使 
用 以 弥补 各 自 的 缺陷 ,增加 系统 的 安全 性 能 。 


7.4.2 防火墙 的 体系 结构 


一 般 来 说 ,构成 防火 墙 的 体系 结构 有 4 种 : 过 滤 路 由 器 结构 . 双 穴 主机 结构 .主机 过 
滤 结构 和 子 网 过 滤 结 构 。 以 下 介绍 基于 这 4 种 体系 结构 构建 的 防火 墙 应 用 系统 。 


1. 过 滤 路 由 器 结构 


过 滤 路 由 器 结构 是 最 简单 的 防火 墙 结构 ,这 种 防火 墙 可 以 由 厂家 专门 生产 的 过 滤 路 
由 器 来 实现 ,也 可 以 由 安装 了 具有 过 滤 功 能 软件 的 普通 路 由 器 实现 。 过 滤 路 由 器 防火 墙 
作为 内 外 连接 的 唯一 通道 ,要求 所 有 的 报 文 都 必须 在 此 通过 检查 。 路 由 器 上 可 以 安装 基 
于 IP 层 的 报 文 过 滤 软 件 ,实现 报 文 过 滤 功 能 。 许 多 路 由 器 本 身 带 有 报 文 过 滤 配置 选项 ， 
但 一 般 比较 简单 。 单 纯 由 过 滤 路 由 器 构成 的 防火 墙 的 危险 包括 路 由 器 本 身 及 路 由 器 允许 
访问 的 主机 。 过 滤 路 由 器 的 缺点 是 一 旦 被 攻击 并 隐藏 后 很 难 被 发 现 ,而 且 不 能 识别 不 同 
的 用 户 。 


双 穴 (dual homed) 主机 防火 墙 是 围绕 着 具有 双 穴 结构 的 主机 而 构建 的 。 在 这 里 双 
穴 主 机 相当 于 一 个 网 关 , 具 有 两 个 或 两 个 以 上 接口 ,网 关 是 用 一 台 装 有 两 块 网 卡 的 保 
又 主机 做 防火 墙 。 双 穴 主 机 的 两 块 网 卡 分 别 与 受 保护 的 内 部 子 网 及 Internet 网 络 连 
接 , 起 着 监视 和 隔离 应 用 层 信 息 流 的 作用 ,彻底 隔离 了 所 有 的 内 部 主机 与 外 部 主机 可 
能 的 连接 。 

堡垒 主机 上 和 运行 着 防火 墙 软件 ,可 以 转发 应 用 程序 .提供 服务 等 。 与 过 滤 路 由 器 相 
比 , 作 为 堡 参 主机 的 系统 软件 可 用 于 维护 系统 日 志 、 硬 件 复制 日 志 或 远程 日 志 。 但 弱点 也 
比较 突出 ,一 旦 黑客 侵入 堡垒 主机 并 使 其 只 具有 路 由 功能 ,任何 网 上 用 户 均 可 以 随便 访问 
内 部 网 。 

双 穴 主 机 可 与 内 部 网 系统 通信 ,也 可 与 外 部 网 系统 通信 。 借 助 于 双 穴 主机 ,防火 墙 
内 、 外 两 网 的 计算 机 便 可 间接 通信 了 。 内 、 外 网 的 主机 不 能 直接 交换 信息 ,信息 交换 要 由 
该 双 穴 主机 “代理 ”并 “服务 ”, 因 此 该 主机 也 相当 于 代理 服务 器 。 因 而 ,内 部 子 网 十 分 安 
全 。 内 部 主机 通过 双 穴 主机 防火 墙 (代理 服务 器 ) 得 到 Internet 服务 ,并 由 该 主机 集中 进 
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行 安全 检查 和 日 志 记 录 。 双 穴 主 机 防火 墙 工 作 在 OSI 的 最 高 层 ,掌握 着 应 用 系统 中 可 用 
作 安 全 决策 的 全 部 信息 。 


3. 主机 过 滤 结 构 


双 穴 主机 防火 墙 是 由 一 台 同 时 连接 内 、 外 部 网 络 的 双 穴 主机 提供 安全 保障 的 。 主 机 
过 滤 防 火 墙 则 与 之 不 同 , 它 是 由 一 台 过 滤 路 由 器 与 外 部 网 络 相连 ,再 通过 一 个 可 提供 安全 
保护 的 主机 (堡垒 主机 ) 与 内 部 网 络 连 接 。 通 常 在 路 由 器 上 设立 过 滤 规 则 ,并 使 这 个 堡 侄 
主机 成 为 唯一 可 从 外 部 网 络 直接 到 达 的 主机 ,这 确保 了 内 部 网 络 不 受 未 被 授权 的 外 部 用 
户 攻 击 。 

来 自 外 部 网 络 的 数据 包 先 经 过 包 过 滤 路 由 器 过 滤 , 不 符合 过 滤 规 则 的 数据 包 被 过 滤 
掉 ; 符合 规则 的 数据 包 则 被 传送 到 堡垒 主机 上 。 堡 又 主机 上 的 代理 服务 器 软件 将 允许 通 
过 的 信息 传输 到 受 保护 的 内 部 网 络 上 。 主 机 过 滤 防 火 墙 结 构 中 堡垒 主机 是 Internet 主机 
连接 内 部 网 系统 的 桥梁 。 任 何 外 部 系统 要 访问 内 部 网 系统 或 服务 ,都 必须 连接 到 该 主机 
上 ,因此 该 主机 要 求 的 级 别 较 高 。 


4. 子 网 过 滤 结 构 


子 网 过 滤 结 构 是 在 主机 过 滤 结 构 中 又 增加 一 个 额外 的 安全 层次 而 构成 的 。 在 内 部 网 
络 和 外 部 网 络 之 间 建 立 一 个 被 隔离 的 子 网 ,用 两 台 过 滤 路 由 器 将 这 一 子 网 分 别 与 内 部 网 
络 和 外 部 网 络 分 开 。 增 加 的 安全 层次 包括 一 台 保 又 主机 和 一 台 路 由 器 。 两 路 由 器 之 间 是 
一 个 称 为 周边 网 络 或 参数 网 络 的 安全 子 网 ,也 叫 隔离 区 或 非 军事 区 (demilitarized zone， 
DM2) ,使 得 内 部 网 和 外 部 网 之 间 有 了 两 层 隔断 。 这 种 结构 就 是 使 用 两 个 过 滤 路 由 器 和 
一 个 周边 网 络 形成 了 一 个 复杂 的 防火 墙 , 以 进行 安全 控制 。 子 网 过 滤 结 构 是 一 种 比较 复 
杂 的 结构 , 它 提供 了 比较 完善 的 计算 机 网 络 安全 保障 和 较 灵 活 的 应 用 方式 。 

周边 网 络 中 的 堡垒 主机 通过 内 部 、 外 部 两 个 路 由 器 与 内 部 、 外 部 网 络 隔 开 ,这 样 可 减 
少 堡 又 主机 被 侵袭 的 影响 。 被 保护 的 内 部 子 网 的 主机 置 于 内 部 包 过 滤 路 由 器 内 ,堡垒 主 
机 被 置 于 内 部 和 外 部 包 过 滤 路 由 器 之 间 。 子 网 过 滤 体 系 结构 的 最 简单 形式 为 两 个 过 滤 路 
由 器 ,每 一 个 都 连接 到 参数 网 络 上 ,其 中 一 个 位 于 参数 网 与 内 部 网 之 间 , 另 一 个 位 于 参数 
网 与 外 部 网 之 间 。 

周边 网 络 是 在 内 部 和 外 部 两 网 络 之 间 另 加 的 一 层 安 全 保护 层 , 它 相当 于 一 个 应 用 网 
关 , 保 又 主机 上 和 运行 代理 服务 器 软件 。 同 时 ,企业 的 对 外 信息 服务 器 (如 WWW、FTP 服 
务 器 等 ) 也 可 设置 在 周边 网 络 内 。 

如 果 入 侵 者 成 功 地 闯 过 外 层 保护 网 到 达 防 火 墙 ,周边 网 络 就 能 在 入 侵 者 与 内 部 网 之 
间 再 提供 一 层 保护 。 如 果 和 侵 者 仅仅 侵入 到 周边 网 络 的 堡垒 主机 ,他 只 能 看 到 周边 网 络 
的 信息 流 而 看 不 到 内 部 网 的 信息 。 周 边 网 络 的 信息 流 仅 往来 于 外 部 网 到 堡 令 主 机 。 在 周 
边 网 络 中 没有 内 部 网 主机 间 的 信息 流动 ,所 以 即使 堡垒 主机 受到 损害 也 不 会 破坏 内 部 网 
的 信息 。 

在 内 、 外 部 两 个 路 由 器 上 建立 的 包 过 滤 都 设置 了 包 过 滤 规 则 ,两 者 的 包 过 滤 规 则 基本 
上 相同 。 内 部 路 由 器 完成 防火 墙 的 大 部 分 包 过 滤 工 作 , 它 允许 某 些 站 点 的 包 过 滤 系 统 认 


为 符合 安全 规则 的 服务 在 内 、 外 部 网 之 间 互 传 。 内 部 路 由 器 的 主要 功能 就 是 保护 内 部 网 
免 受 来 自 外 部 网 与 周边 网 络 的 侵扰 。 外 部 路 由 器 既 可 保护 周边 网 络 , 又 可 保护 内 部 网 。 
实际 上 ,在 外 部 路 由 器 上 仅 做 一 小 部 分 包 过 滤 , 它 几乎 让 所 有 周边 网 络 的 外 向 请 求 通过 。 
外 部 路 由 器 的 包 过 滤 主 要 对 周边 网 络 上 的 主机 提供 保护 。 


5. 不 同 结构 防火 墙 的 组 合 结构 


在 构建 造 防火 墙 时 ,一 般 很 少 采 用 单一 的 技术 ,通常 是 多 种 解决 不 同 问题 的 技术 的 组 
合 。 这 种 组 合 主要 取决 于 网 管 中 心 向 用 户 提 供 什么 样 的 服务 ,以 及 网 管 中 心 能 接受 什么 
等 级 风险 。 采 用 哪 种 技术 主要 取决 于 经 费 , 投 资 的 大 小 或 技术 人 员 的 技术 、 时 间 等 因素 。 
一 般 有 以 下 几 种 形式 : 

(1) 多 堡垒 主机 结构 。 

(2) 合并 内 外 路 由 器 结构 。 

(3) 合并 堡 件 主机 与 内 部 路 由 器 结构 。 

(4) 合并 堡垒 主 机 与 外 部 路 由 器 结构 。 

(5) 使 用 多 台 内 部 过 滤 路 由 器 。 

(6) 使 用 多 台 外 部 过 滤 路 由 器 。 

(7) 双 穴 主机 与 子 网 过 滤 结 构 。 

选用 什么 样 的 组 合 主要 是 根据 网 络 中 心 向 用 户 提供 什么 样 的 服务 .对 计算 机 网 络 安 
全 等 级 的 要 求 及 承担 的 风险 情况 等 确定 的 。 


7.4.3 ”防火 墙 的 主要 实现 技术 


1. 包 过 滤 技 术 


1) 包 过 滤 技 术 的 工作 原理 

网 络 层 防 火 墙 技术 根据 网 络 层 和 传输 层 的 原则 对 传输 的 信息 进行 过 滤 。 网 络 层 技术 
的 一 个 范例 就 是 包 过 滤 (packet filtering) 技 术 。 因 此 ,利用 包 过 滤 技 术 在 网 络 层 实现 的 防 
火 墙 也 叫 包 过 滤 防 火 墙 。 

在 互联 网 这 样 的 TCP/IP 网 络 上 ,所 有 往来 的 信息 都 被 分 割 成 许 许多 多 一 定 长 度 
的 数据 包 , 包 中 包含 发 送 者 的 了 地 址 和 接收 者 的 耳 地 址 等 信息 。 当 这 些 数据 包 被 送 
上 互联 网 时 ,路 由 器 会 读 取 接 收 者 的 人 地址 信息 并 选择 一 条 合适 的 物理 线路 发 送 数 据 
包 。 数 据 包 可 能 经 由 不 同 的 路 线 到 达 目 的 地 , 当 所 有 的 包 到 达 目 的 地 后 会 重新 组 装 

包 过 滤 技 术 是 在 网 络 的 出 入 口 (如 路 由 器 ) 对 通过 的 数据 包 进 行 检查 和 选择 的 ,选择 
的 依据 是 系统 内 设置 的 过 滤 逻 辑 ( 包 过 滤 规 则 ) . 称 为 访问 控制 表 (access control table) 。 
通过 检查 数据 流 中 每 个 数据 包 的 源 地 址 、 目 的 地 址 、 所 用 的 端口 号 ,协议 状态 或 它们 的 组 
合 , 来 确定 是 否 允 许 该 数据 包 通 过 。 通 过 检查 ,只 有 满足 条 件 的 数据 包 才 允许 通过 ,否则 
被 抛弃 (过 滤 掉 )。 如 果 防 火 墙 中 设 定 某 一 IP 地 址 的 站 点 为 不 适宜 访问 的 站 点 , 则 从 该 站 
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点 地 址 来 的 所 有 信息 都 会 被 防火 墙 过 滤 掉 。 这 样 可 以 有 效 地 防止 恶意 用 户 利 用 不 安全 的 
服务 对 内 部 网 进行 攻击 。 包 过 滤 防 火 墙 要 遵循 的 一 条 基本 原则 就 是 “最 小 特权 原则 ”, 即 
明确 允许 管理 员 希 望 通过 的 那些 数据 包 , 而 禁止 其 他 的 数据 包 。 

在 网 络 上 传输 的 每 个 数据 包 都 可 分 为 两 部 分 , 即 数据 部 分 和 包头 。 包 过 滤器 就 是 根 
据 包 头 信息 来 判断 该 包 是 否 符 合 网 络 管理 员 设 定 的 规则 表 中 的 规则 ,以 确定 是 否 允 许 该 
数据 包 通 过 。 包 过 滤 规 则 一 般 是 基于 部 分 或 全 部 报头 信息 的 ,如 IP 协议 类 型 .IP 源 地 
址 、IP 选择 域 的 内 容 、TCP 源 端口 号 .TCP 目标 端口 号 等 。 例 如 , 包 过 滤 防 火 墙 可 以 对 来 
自 特 定 的 Internet 地 址 信息 进行 过 滤 , 或 者 只 允许 来 自 特定 地 址 的 信息 通过 。 它 还 可 以 
根据 需要 的 TCP 端口 来 过 滤 信 息 。 如 果 将 过 滤器 设置 成 只 允许 数据 包 通 过 TCP 端口 
80( 标 准 的 HTTP 端口 ) ,那么 在 其 他 端口 ,如 端口 25( 标 准 的 SMTP 端口 ) 上 的 服务 程序 
的 任何 数据 包 均 不 得 通过 。 

包 过 滤 防 火 墙 既 可 以 允许 授权 的 服务 程序 和 主机 直接 访问 内 部 网 络 , 也 可 以 过 滤 指 
定 的 端口 和 内 部 用 户 的 Internet 地 址 信息 。 大 多 数 包 过 滤 防 火 墙 的 功能 可 以 设置 在 内 部 
网 络 与 外 部 网 络 之 间 的 路 由 器 上 ,作为 第 一 道 安全 防线 。 路 由 器 是 内 部 网 络 与 Internet 
连接 必 不 可 少 的 设备 ,因此 在 原 有 网 络 上 增加 这 样 的 防火 墙 软件 几乎 不 需要 任何 额外 的 
费用 。 

2) 包 过 滤 规 则 

包 过 滤 防 火 墙 的 过 滤 规 则 的 主要 描述 形式 有 逻辑 过 滤 规 则 表 、 文 件 过 滤 规 则 表 和 内 
存 过 滤 规 则 表 。 在 包 过 滤 系 统 中 ,规则 表 是 十 分 重要 的 。 依 据 规则 表 可 检查 过 滤 模块 . 端 
口 映射 模块 和 地 址 欺骗 等 。 规 则 表 制定 的 好 坏 , 直接 影响 机 构 的 安全 策略 是 否 会 被 有 效 
地 体现 ; 规则 表 设 置 的 结构 是 否 合理 ,将 影响 包 过 滤 防 火 墙 的 性 能 。 

大 多 数 包 过 滤 系 统 判断 是 否 传输 包 时 都 不 关心 包 的 具体 内 容 , 而 是 让 用 户 进 行 如 下 
操作 : 


不 允许 任何 用 户 从 外 部 网 络 用 TELNET 登录 。 
允许 任何 用 户 使 用 SMTP 往 内 部 网 发 送 电子 邮件 。 
只 允许 某 台 机 器 通过 NNTP( 网 络 新 闻 传 输 协 议 ) 往 内 部 网 络 发 送 新 闻 。 
允许 某 用 户 从 外 部 网 络 用 TELNET 登录 而 不 允许 其 他 用 户 进行 这 种 操作 。 
允许 某 用 户 传送 一 些 文件 而 不 允许 该 用 户 传送 其 他 文件 。 

3) 包 过 滤 防 火 墙 的 特点 

(1) 包 过 滤 技 术 的 优点 

一 个 过 滤 路 由 器 能 协助 保护 整个 网 络 。 数 据 包 过 滤 的 主要 优点 之 一 就 是 一 个 恰当 放 
置 的 包 过 滤 路 由 器 有 助 于 保护 整个 网 络 。 如 果 仅 有 一 个 路 由 器 连接 内 部 与 外 部 网 络 ,不 
论 内 部 网 络 的 大 小 和 内 部 拓扑 结构 如 何 , 通 过 该 路 由 器 进行 数据 包 过 滤 ,就 可 在 计算 机 网 
络 安全 保护 上 取得 较 好 的 效果 。 

数据 包 过 滤 对 用 户 透 明 。 数 据 包 过 滤 不 要 求 任 何 自 定义 软件 或 客户 机 配置 ,也 不 要 
求 用 户 任何 特殊 的 训练 或 操作 。 当 包 过 滤 路 由 器 决定 让 数据 包 通 过 时 , 它 与 普通 路 由 器 
没什么 区 别 。 比 较 理 想 的 情况 是 用 户 将 感觉 不 到 它 的 存在 ,除非 他 们 试图 做 过 滤 规 则 中 
所 禁止 的 事 。 较 强 的 “透明 度 是 包 过 滤 的 一 大 优势 。 
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过 滤 路 由 器 速度 快 ,效率 高 。 过 滤 路 由 器 只 检查 报头 相应 的 字段 ,一 般 不 查看 数据 包 
的 内 容 , 而 且 某 些 核心 部 分 是 由 专用 硬件 实现 的 , 故 其 转发 速度 快 , 效 率 较 高 。 

包 过 滤 技 术 通 用 、 廉 价 、 有 效 。 包 过 滤 技 术 不 是 针对 各 个 具体 的 网 络 服务 采取 特殊 的 
处 理 方式 ,而 是 对 各 种 网 络 服务 都 通用 ,大 多 数 路 由 器 都 提供 包 过 滤 功 能 ,不 用 再 增加 更 
多 的 硬件 和 软件 ,因此 其 价格 低廉 ,能 很 大 程度 地 满足 企业 的 安全 要 求 , 其 应 用 行 之 有 效 。 

此 外 , 包 过 滤 技 术 还 易于 安装 、 使 用 和 维护 。 

(2) 包 过 滤 技 术 的 缺点 

安全 性 较 差 。 防 火 墙 过 滤 的 只 有 网 络 层 和 传输 层 的 有 限 信息 ,因而 各 种 安全 要 求 不 
可 能 充分 满足 ; 在 许多 过 滤器 中 ,过 滤 规 则 的 数目 有 限 , 且 随 着 规则 数目 的 增加 ,性 能 将 
受到 影响 。 过 滤 路 由 器 只 是 检测 TCP/IP 报头 ,检查 特定 的 几 个 域 ,而 不 检查 数据 包 的 内 
容 , 不 按 特 定 的 应 用 协议 进行 审查 和 扫描 ,不 作 详细 分 析 和 记录 。 非 法 访问 一 旦 突破 防火 
墙 , 即 可 对 主机 上 的 软件 和 配置 漏洞 进行 攻击 。 因 而 ,与 代理 技术 相 比 , 包 过 滤 技 术 的 安 
全 性 较 差 。 

不 能 彻底 防止 地 址 欺骗 。 大 多 数 包 过 滤 路 由 器 都 是 基于 源 IP 地 址 、 目 的 IP 地 址 而 
进行 过 滤 的 ,而 IP 地 址 的 伪造 是 很 容易 、 很 普遍 的 。 如 果 攻 击 者 将 自己 主机 的 IP 地 址 设 
置 成 一 个 合法 主机 的 IP 地 址 ,就 可 以 轻易 地 通过 路 由 器 。 因 此 ,过 滤 路 由 器 在 IP 地 址 欺 
骗 上 大 都 无 能 为 力 ,即使 按 MAC 地 址 进行 绑 定 ,也 是 不 可 信 的 。 因 此 对 于 一 些 安全 性 要 
求 较 高 的 网 络 , 过 滤 路 由 器 是 不 能 胜任 的 。 

一 些 应 用 协议 不 适用 于 数据 包 过 滤 ,即使 是 完美 的 数据 包 过 滤 实 现 ,也 会 发 现 一 些 协 
议 不 很 适合 于 数据 包 过 滤 安 全 保护 ,如 RPC、X-Window 和 FTP。 

无 法 执行 某 些 安全 策略 。 包 过 滤 路 由 器 上 的 信息 不 能 完全 满足 人 们 对 安全 策略 的 需 
求 。 例 如 ,数据 包 表 明 它 们 来 自 某 台 主机 ,而 不 是 某 个 用 户 , 因 此 ,我们 不 能 强行 限制 特殊 
的 用 户 。 同 样 ,数据 包 表 明 它 到 某 个 端口 ,而 不 是 到 某 个 应 用 程序 。 当 我 们 通过 端口 号 对 
高 级 协议 强行 限制 时 ,不 希望 在 端口 上 有 除 指定 协议 之 外 别 的 协议 ,恶意 的 知情 者 可 以 很 
容易 地 破坏 这 种 控制 。 

从 以 上 分 析 可 以 看 出 ,静态 包 过 滤 防 火 墙 技术 虽然 能 确保 一 定 的 安全 保护 , 且 也 有 许 
多 优点 ,但 是 它 毕 竞 是 早期 的 防火 墙 技术 ,本 身 存 在 较 多 缺陷 ,不 能 提供 较 高 的 安全 性 。 
在 实际 应 用 中 ,现在 很 少 把 这 种 技术 当 作 单独 的 安全 解决 方案 ,而 是 把 它 与 其 他 防火 墙 技 
术 组 合 在 一 起 使 用 。 


2. 代理 服务 技术 


1) 代理 服务 技术 的 工作 原理 

代理 服务 器 防火 墙 工作 在 OSI 模型 的 应 用 层 , 它 掌握 着 应 用 系统 中 可 用 作 安 全 决策 
的 全 部 信息 ,因此 ,代理 服务 器 防火 墙 又 称 应 用 层 网 关 。 这 种 防火 墙 通过 一 种 代理 
(proxy) 技 术 参 与 到 一 个 TCP 连接 的 全 过 程 。 从 内 部 网 用 户 发 出 的 数据 包 经 过 这 样 的 防 
火 墙 处 理 后 ,就 好 像 是 源 于 防火 墙 外 部 网 卡 一 样 ,从 而 可 以 达到 隐藏 内 部 网 结构 的 作用 。 
代理 服务 器 防火 墙 通过 在 主机 上 运行 代理 的 服务 程序 ,直接 对 特定 的 应 用 层 进行 服务 , 因 
此 也 称 为 应 用 型 防火 墙 ,其 核心 是 运行 于 防火 墙 主机 上 的 代理 服务 器 进程 。 
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所 谓 代 理 服务 器 ,是 指 它 代 表 客 户 处 理 在 服务 器 连接 请 求 的 程序 。 当 代理 服务 器 得 
到 一 个 客户 的 连接 意图 时 ,对 客户 的 请 求 进行 核实 ,并 经 过 特定 的 安全 化 的 代理 应 用 程序 
处 理 连接 请 求 ,将 处 理 后 的 请 求 传递 到 真正 的 Internet 服务 器 上 ,然后 接收 服务 器 应 答 。 
代理 服务 器 对 真正 服务 器 的 应 答 做 进一步 处 理 后 ,将 答复 交 给 发 出 请 求 的 最 终 客 户 。 代 
理 服务 器 通常 运行 在 两 个 网 络 之 间 , 它 对 于 客户 来 说 像 是 一 台 真 的 服务 器 ,而 对 于 外 部 网 
的 服务 器 来 说 , 它 又 好 似 一 台 客 户 机 。 代 理 服务 器 并 非 将 用 户 的 全 部 网 络 请 求 都 提交 给 
Internet 上 的 真正 服务 器 ,而 是 先 依据 安全 规则 和 用 户 的 请 求 做 出 判断 ,是 否 代理 执行 该 
请 求 , 有 的 请 求 可 能 被 否决 。 当 用 户 提供 了 正确 的 用 户 身份 及 认证 信息 后 ,代理 服务 器 建 
立 与 外 部 Internet 服务 器 的 连接 ,为 两 个 通信 点 充当 中 继 。 内 部 网 络 只 接收 代理 服务 器 
提出 的 要 求 ,拒绝 外 部 网 络 的 直接 请 求 。 

一 个 代理 服务 器 本 质 上 就 是 一 个 应 用 层 网 关 , 即 一 个 为 特定 网 络 应 用 而 连接 两 个 网 
络 的 网 关 。 代 理 服务 器 像 一 堵 墙 一 样 挡 在 内 部 用 户 和 外 界 之 间 , 分 别 与 内 部 和 外 部 系统 
连接 ,是 内 部 网 与 外 部 网 的 隔离 点 ,起 着 监视 和 隔绝 应 用 层 通信 流 的 作用 。 从 外 部 只 能 看 
到 该 代理 服务 器 而 无 法 获知 任何 的 内 部 资源 (诸如 用 户 的 IP 地 址 等 ) 。 

代理 服务 器 防火 墙 能 够 记录 通过 它 的 一 些 信息 ,如 什么 用 户 在 什么 时 间 访 问 过 什么 
站 点 等 。 这 些 审计 信息 可 以 帮助 网 络 管理 员 识别 网 络 间谍 。 代 理 服务 器 通常 都 拥有 一 个 
高 速 Cache, 这 个 Cache 存储 用 户 频繁 访问 的 站 点 内 容 ( 页 面 ) .在 下 一 个 用 户 要 访问 该 站 
点 的 这 些 内 容 时 ,代理 服务 器 就 不 用 连接 到 Internet 上 的 服务 器 重复 地 获取 相同 的 内 容 ， 
而 是 直接 将 本 身 Cache 中 的 内 容 发 出 即 可 ,从 而 节约 了 访问 这 些 内 容 的 内 部 响应 时 间 和 
网 络 资源 。 

许多 代理 服务 器 防火 墙 除了 提供 代理 请 求 服务 外 ,还 提供 网 络 层 信息 过 滤 的 功能 。 
它们 也 对 过 往 的 数据 包 进 行 分 析 、 注 册 登 记 、 形 成 报告 ,同时 当 发 现 被 攻击 迹象 时 会 向 网 
络 管理 员 发 出 警报 ,并 保留 攻击 痕迹 。 

代理 服务 可 以 实现 用 户 认证 .详细 日 志 、 审 计 跟 踪 和 数据 加 密 等 功能 ,并 实现 对 具体 
协议 及 应 用 的 过 滤 ,如 阻塞 Java 或 Java Script。 这 种 防火 墙 能 完全 控制 网 络 信息 的 交换 
和 会 话 过 程 ,具有 灵活 性 和 安全 性 ,但 可 能 影响 网 络 的 性 能 ,如 对 用 户 不 透明 , 且 对 每 一 种 
服务 器 都 要 设计 一 个 代理 模块 ,建立 对 应 的 网 关 层 ,实现 起 来 比较 复杂 。 

2) 代理 服务 器 防火 墙 的 特点 

(1) 代理 服务 技术 的 优点 

良好 的 安全 性 。 由 于 每 一 个 内 、 外 网 络 之 间 的 连接 都 要 通过 代理 服务 技术 的 介入 和 
转换 ,通过 专门 为 特定 的 服务 (如 HTTP) 编 写 的 安全 化 的 应 用 程序 进行 处 理 , 然 后 由 防 
火 墙 本 身分 别 向 外 部 服务 器 提交 请 求 和 向 内 部 用 户 发 回应 答 ,不 给 内 、 外 网 络 的 计算 机 以 
任何 直接 会 话 的 机 会 ,从 而 避免 了 入 侵 者 使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 另 
外 ,代理 服务 技术 还 按 特定 的 应 用 协议 对 数据 包 内 容 进 行 审 查 和 扫描 ,因此 也 增加 了 防火 
墙 的 安全 性 。 安 全 性 好 是 代理 服务 技术 突出 的 优点 。 

简易 的 配置 方式 。 代 理 服 务 因为 是 一 个 软件 ,所 以 它 较 过 滤 路 由 器 更 易 配 置 ,配置 界 
面 十 分 友好 。 如 果 代 理 服务 实现 得 好 ,可 以 对 配置 协议 要 求 较 低 ,从 而 避免 了 配置 错误 。 

完整 的 日 志 记 录 。 因 代理 服务 工作 在 应 用 层 , 它 可 检查 各 项 数据 ,所 以 可 以 按 一 定 准 
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则 ,让 代理 服务 生成 各 项 日 志 、 记 录 。 这 些 日 志 、 记 录 对 于 流量 分 析 、 安 全 检验 是 十 分 重要 
和 宝贵 的 。 当 然 , 它 也 可 以 用 于 计 费 等 应 用 中 。 

进出 流量 和 内 容 的 完全 地 控制 。 通 过 采取 一 定 的 措施 ,按照 一 定 的 规则 ,借助 于 代理 技 
术 可 实现 一 整套 的 安全 策略 ,比如 说 控制 “ 谁 ? 和 ”做 什么 ”, 在 什么 时间” 和 * 地 点 ”控制 等 。 

数据 内 容 的 过 滤 。 可 以 把 一 些 过 滤 规 则 应 用 于 代理 服务 ,让 它 在 高 层 实现 过 滤 功 能 ， 
例如 文本 过 滤 、 图 像 过 滤 ( 目 前 还 未 实现 ,但 这 是 一 个 热点 研究 领域 )\ 预 防 病毒 或 扫描 病 
毒 等 。 

为 用 户 提供 透明 的 加 密 机 制 。 用 户 通过 代理 服务 收发 数据 ,可 以 让 代理 服务 完成 加 / 
解密 功能 ,从 而 方便 用 户 , 确 保 数据 的 机 密 性 。 这 点 在 虚拟 专用 网 (VPN) 中 特别 重要 。 
代理 服务 可 以 广泛 地 用 于 企业 内 部 网 中 ,提供 较 高 安全 性 的 数据 通信 。 

可 以 方便 地 与 其 他 安全 技术 集成 。 目 前 的 安全 问题 解决 方案 很 多 , 如 验证 
(authentication) ,授权 (authorization) 、 账 号 (accounting) 数据 加 密 、 安 全 协议 (SSL) 等 。 
如 果 把 代理 服务 与 这 些 技术 联合 使 用 ,将 大 大 增加 网 络 的 安全 性 。 

(2) 代理 服务 技术 的 缺点 

速度 较 慢 。 路 由 器 只 是 简单 查看 TCP/IP 报头 ,检查 特定 的 几 个 域 ,不 作 详细 分 析 、 
记录 。 而 代理 服务 工作 于 应 用 层 ,要 检查 数据 包 的 内 容 , 按 特定 的 应 用 协议 (如 HTTP) 
进行 审查 ,扫描 数据 包 内 容 , 并 进行 代理 (转发 请 求 或 响应 ) , 故 其 速度 较 慢 。 

对 用 户 不 透明 。 许 多 代理 服务 要 求 客 户 端 作 相 应 改动 或 安装 定制 的 客户 端 软件 ,这 
给 用 户 增加 了 不 透明 度 。 为 内 部 网 络 的 每 一 台 内 部 主机 安装 和 配置 特定 的 应 用 程序 , 既 
耗费 时 间 , 又 容易 出 错 , 原 因 是 硬件 平台 和 操作 系统 都 存在 差异 。 

对 于 不 同 的 服务 代理 可 能 要 求 不 同 的 服务 器 。 可 能 需要 为 每 项 协议 设置 一 个 不 同 的 
代理 服务 器 ,因为 代理 服务 器 不 得 不 理解 协议 以 便 判 断 什 么 是 允许 的 和 不 允许 的 ,并 且 还 
要 装扮 成 一 个 对 真实 服务 器 来 说 它 就 是 客户 、 对 客户 来 说 它 就 是 服务 器 的 角色 。 选 择 、 安 
装 和 配置 所 有 这 些 不 同 的 服务 器 也 可 能 是 一 项 较 烦 琐 的 工作 。 

通常 要 求 对 客户 和 /或 过 程 进行 限制 。 除 了 一 些 为 代理 而 设置 的 服务 ,代理 服务 器 要 
求 对 客户 或 过 程 进行 限制 ,每 一 种 限制 都 有 不 足 之 处 .人 们 无 法 经 常 按 他 们 自己 的 步骤 使 
用 快捷 可 用 的 方式 。 由 于 这 些 限制 ,代理 应 用 就 不 能 像 非 代理 应 用 运行 得 那样 好 ,它们 往 
往 可 能 曲解 协议 的 说 明 。 

代理 服务 不 能 改进 底层 协议 的 安全 性 。 因 为 代理 服务 工作 于 TCP/IP 的 应 用 层 , 所 
以 它 不 能 改善 底层 通信 协议 的 能 力 ,如 IP 欺骗 ,SYN 泛滥、 伪造 ICMP 消息 和 一 些 拒绝 
服务 的 攻击 。 而 这 些 方面 ,对 于 一 个 网 络 的 鲁 棒 性 是 相当 重要 的 。 


3. 状态 检测 技术 


1) 状态 检测 技术 的 工作 原理 

状态 检测 (stateful inspection) 防 火 墙 由 Check Point 率先 提出 ,又 称 动态 包 过 滤 防 火 
墙 。 状 态 检测 防火 墙 是 新 一 代 的 防火 墙 技术 ,也 被 称 为 第 三 代 防 火 墙 。 这 种 防火 墙 具 有 
非常 好 的 安全 特性 , 它 使 用 了 一 个 在 网 关上 执行 计算 机 网 络 安全 策略 的 软件 模块 , 称 之 为 
检测 引擎 。 检 测 引擎 在 不 影响 网 络 正常 运行 的 前 提 下 ,采用 抽取 有 关 数 据 的 方法 对 网 络 
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通信 的 各 层 实施 检测 。 它 将 抽取 的 状态 信息 动态 地 保存 起 来 作为 以 后 执行 安全 策略 的 参 
考 。 检 测 引擎 维护 一 个 动态 的 状态 信息 表 并 对 后 续 的 数据 包 进行 检查 。 一 旦 发 现任 何 连 
接 的 参数 有 意外 变化 ,该 连接 就 被 中 止 。 

状态 检测 防火 墙 监视 和 跟踪 每 一 个 有 效 连接 的 状态 ,并 根据 这 些 信息 决定 网 络 数据 
包 是 否 能 通过 防火 墙 。 它 在 协议 栈 底层 截取 数据 包 , 然 后 分 析 这 些 数据 包 ,并且 将 当前 数 
据 包 和 状态 信息 与 前 一 时 刻 的 数据 包 和 状态 信息 进行 比较 ,从 而 得 到 该 数据 包 的 控制 信 
息 ,来 达到 保护 计算 机 网 络 安全 的 目的 。 

检测 引擎 支持 多 种 协议 和 应 用 程序 ,并 可 以 很 容易 地 实现 应 用 和 服务 的 扩充 。 与 前 
两 种 防火 墙 不 同 , 当 用 户 访问 请 求 到 达 网 关 的 操作 系统 前 ,状态 监视 器 要 收集 有 关 数 据 进 
行 分 析 , 结 合 网 络 配置 和 安全 规则 做 出 接纳 拒绝、 身份 认证 .报警 或 给 该 通信 加 密 等 处 理 
动作 。 一 旦 某 个 访问 违反 了 安全 规则 ,该 访问 就 会 被 拒绝 ,并 报告 有 关 状 态 , 做 出 日 志 
记录 。 

状态 检测 防火 墙 试图 跟踪 通过 防火 墙 的 网 络 连接 和 包 , 这 样 它 就 可 以 使 用 一 组 附加 
的 标准 ,以 确定 是 否 允 许 和 拒绝 通信 。 状 态 检测 防火 墙 是 在 使 用 了 基本 包 过 滤 防 火 墙 的 
通信 上 应 用 一 些 技术 来 做 到 这 点 的 。 为 了 跟踪 包 的 状态 ,状态 检测 防火 墙 不 仅 跟 踪 包 中 
包含 的 信息 ,还 记录 有 用 的 信息 以 帮助 识别 包 ( 例 如 已 有 的 网 络 连接 、 数 据 的 传 出 请 
求 等 )。 

状态 检测 防火 墙 可 检测 无 连接 状态 的 远程 过 程 调 用 (RPC) 和 用 户 数 据 报 (UDP) 之 
类 的 端口 信息 ,而 包 过 滤 和 代理 服务 技术 都 不 支持 此 类 应 用 。 这 种 防火 墙 无 疑 是 非常 坚 
固 的 ,但 它 会 降低 网 络 的 速度 ,而且 配置 也 比较 复杂 。 好 在 有 关 防 火 墙 厂商 已 注意 到 这 一 
问题 ,如 Check Point 公司 的 防火 墙 产品 Firewall-1, 所 有 的 安全 策略 规则 都 是 通过 面向 
对 象 的 图 形 用 户 界面 (GUD 定 义 的 ,因此 可 以 简化 配置 过 程 。 

2) 通过 状态 检测 防火 墙 的 数据 包 类 型 

状态 检测 防火 墙 在 跟踪 连接 状态 方式 下 通过 数据 包 的 类 型 有 以 下 几 种 。 

(1) TCP 包 

当 建立 起 一 个 TCP 连接 时 ,通过 的 第 一 个 包 被 标 有 包 的 SYN 标志 。 通 常 ,防火 墙 丢 
弃 所 有 外 部 的 连接 企图 ,除非 已 经 建立 起 某 条 特定 规则 来 处 理 它们 。 对 内 部 连 到 外 部 主 
机 的 连接 ,防火 墙 注 明 连 接 包 ,允许 响应 两 个 系统 之 间 的 包 , 直 到 连接 结束 为 止 。 在 这 种 
方式 下 ,传人 的 包 只 有 在 它 响 应 一 个 已 建立 的 连接 时 , 才 会 被 允许 通过 。 

(2) UDP 包 

UDP 包 比 TCP 包 简单 ,因为 它们 不 包含 任何 连接 或 序列 信息 。 它 们 只 包含 源 地 址 、 
目的 地 址 、 校 验 和 携带 的 数据 。 这 种 简单 的 信息 使 得 防火 墙 很 难 确定 包 的 合法 性 ,因为 没 
有 打开 的 连接 可 利用 ,以 测试 传人 的 包 是 否 应 被 允许 通过 。 可 是 ,如果 防 火 墙 跟踪 UDP 
包 的 状态 ,那么 就 可 以 确定 包 的 合法 性 。 对 传人 的 包 , 若 它 所 使 用 的 地 址 和 UDP 包 携带 
的 协议 与 传 出 的 连接 请 求 匹配 ,该 包 就 被 允许 通过 。 所 有 从 外 界 传人 的 UDP 包 都 不 会 
被 允许 通过 ,除非 它 是 响应 传 出 的 请 求 或 已 经 建立 了 指定 的 规则 来 处 理 它 。 对 其 他 种 类 
的 包 ,情况 和 UDP 包 类 似 。 防 火 墙 仔细 地 跟踪 传 出 的 请 求 , 记 录 下 所 使 用 的 地 址 、 协 议 
和 包 的 类 型 ,然后 对 照 保 存 过 的 信息 核对 传人 的 包 , 以 确保 这 些 包 是 被 请 求 的 。 
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3) 状态 检测 防火 墙 的 特点 和 应 用 

状态 检测 防火 墙 结合 了 包 过 滤 防 火 墙 和 代理 服务 器 防火 墙 的 特点 。 与 包 过 滤 防 火 墙 
一 样 , 它 能 够 在 OSI 网 络 层 上 通过 IP 地 址 和 端口 号 过 滤 进 出 的 数据 包 ; 它 也 像 代理 服 务 
器 防火 墙 那样 ,可 以 在 OSI 应 用 层 上 检查 数据 包 内 容 , 查 看 这 些 内 容 是 否 能 符合 公司 网 
络 的 安全 规则 。 状 态 检测 防火 墙 克服 了 包 过 滤 防 火 墙 和 代理 服务 器 的 局 限 性 ,能 够 根据 
协议 .端口 及 源 地 址 .目的 地 址 的 具体 情况 决定 数据 包 是 否 可 以 通过 。 对 于 每 个 安全 策略 
允许 的 请 求 ,状态 检测 防火 墙 启动 相应 的 进程 ,可 以 快速 地 确认 符合 授权 标准 的 数据 包 ， 
这 使 得 本 身 的 运行 速度 加 快 。 状 态 检测 防火 墙 的 缺点 是 状态 检测 可 能 造成 网 络 连接 的 某 
种 迟 沿 ,不 过 硬件 运行 速度 越 快 ,这 个 问题 就 越 不 易 察觉 。 

状态 检测 防火 墙 已 经 在 国内 外 得 到 广泛 应 用 ,目前 在 市 场 上 流行 的 防火 墙 大 多 属于 
状态 检测 防火 墙 ,因为 该 防火 墙 对 于 用 户 透 明 , 在 OSI 最 高 层 上 加 密 数 据 , 不 需要 再 去 修 
改 客户 端的 程序 ,也 不 需 对 每 个 需要 在 防火 墙 上 运行 的 服务 额外 增加 一 个 代理 。 


4. 网 络 地 址 翻译 


1) NAT 的 基本 功能 

网 络 地 址 翻译 协议 是 将 内 部 网 络 的 多 个 IP 地 址 转换 到 一 个 公共 他 地 址 与 Internet 连接 。 

当 内 部 用 户 与 一 个 公共 主机 通信 时 ,NAT 能 追踪 是 哪 一 个 用 户 所 发 出 的 请 求 ,修改 
传 出 的 包 , 这 样 包 就 像 是 来 自 单一 的 公共 IP 地 址 ,然后 再 打开 连接 。 一 旦 建立 了 连接 ,在 
内 部 计算 机 和 Web 站 点 之 间 来 回流 动 的 通信 就 都 是 透明 的 。 

当 从 公共 网 络 传 来 一 个 未 经 请 求 的 连接 时 ,NAT 有 一 套 规 则 来 决定 如 何 处 理 它 。 
如 果 没 有 事先 定义 好 的 规则 ,NAT 可 丢弃 所 有 未 经 请 求 的 传人 连接 ,就 像 包 过 滤 防 火 墙 
所 做 的 那样 。 

2) 地 址 翻译 技术 

地 址 翻译 技术 包括 以 下 几 种 。 

(1) 静态 翻译 ,一 个 指定 的 内 部 主机 有 一 个 同 定 不 变 的 地 址 翻译 表 , 通 过 这 张 表 ,可 
将 内 部 地 址 翻译 成 防火 墙 的 外 网 接口 地 址 。 

(2) 动态 翻译 ,为 了 隐藏 内 部 主机 的 身份 或 扩展 内 部 网 络 的 地 址 空间 ,一 个 大 的 
Internet 客户 群 共享 一 组 较 小 的 Internet IP 地 址 。 

(3) 负载 平衡 翻译 ,一 个 IP 地 址 和 端口 被 翻译 为 同等 配置 的 多 个 服务 器 , 当 请 求 到 
达 时 ,防火 墙 将 按照 一 个 算法 来 平衡 所 有 连接 到 内 部 的 服务 器 ,这 样 向 一 个 合法 IP 地 址 
请 求 ,实际 上 是 有 多 台 服 务 器 在 提供 服务 。 

(4) 网 络 宛 余 翻译 ,多 个 Internet 连接 被 附加 在 一 个 NAT 防火 墙 上 ,而 这 个 防火 墙 
根据 负载 和 可 用 性 对 这 些 连 接 进行 选择 和 使 用 。 

3) NAT 的 优 缺点 

(1) NAT 的 优点 

所 有 内 部 的 IP 地 址 对 外 面 的 人 来 说 是 隐蔽 的 。 因 为 这 个 原因 ,网 络 之 外 没有 人 可 以 
通过 指定 IP 地 址 的 方式 直接 对 网 络 内 的 任何 一 台 特定 的 计算 机 发 起 攻击 。 

如 果 因 为 某 种 原因 公共 IP 地 址 资源 比较 短缺 ,NAT 可 以 使 整个 内 部 网 络 共享 一 个 
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IP 地 址 。 

可 以 启用 基本 的 包 过 滤 防 火 墙 安全 机 制 , 因 为 如 果 传 人 的 包 没有 专门 指定 配置 到 
NAT, 那 么 就 会 被 丢弃 。 内 部 网 络 的 计算 机 就 不 可 能 直接 访问 外 部 网 络 。 

(2) 缺点 

NAT 的 缺点 和 包 过 滤 防 火 墙 的 缺点 是 一 样 的 。 虽然 可 以 保障 内 部 网 络 的 安全 ,但 
它 也 有 一 定 的 局 限 性 。 而 且 内 网 可 以 利用 流传 较 广 的 木马 程序 ,可 以 通过 NAT 做 外 部 
连接 ,就 像 穿 过 包 过 滤 防 火 墙 一 样 容易 。 


5. 应 用 级 网 关 


应 用 级 网 关 (application gateway) 使 用 专用 软件 来 转发 和 过 滤 特 定 的 应 用 服务 ,如 
Telnet、FTP 等 服务 连接 。 

应 用 级 网 关 能 够 检查 进出 的 数据 包 , 通 过 网 关 复 制 传递 数据 ,防止 在 受信 任 服务 器 和 
客户 机 与 不 受信 任 的 主机 间 直 接 建 立 联 系 。 应 用 级 网 关 能 够 理解 应 用 层 上 的 协议 ,能 够 
做 一 些 复 杂 的 访问 控制 。 但 每 一 种 协议 需要 相应 的 代理 软件 ,使 用 时 工作 量 大 ,效率 不 如 
网 络 级 防火 墙 。 

常用 的 应 用 级 防火 墙 已 有 了 相应 的 代理 服务 ,例如 HTTP、NNTP、FTP、 Telnet、 
Rlogin 和 X-Window 等 ,但 是 ,对 于 新 开发 的 应 用 , 尚 没 有 相应 的 代理 服务 ,它们 将 通过 
网 络 级 防火 墙 和 一 般 的 代理 服务 。 

应 用 级 网 关 有 较 好 的 访问 控制 ,是 目前 最 安全 的 防火 墙 技术 ,但 实现 困难 ,而 且 有 的 
应 用 级 网 关 缺 乏 “ 透 明度 ”。 在 实际 使 用 中 ,用 户 在 受信 任 的 网 络 上 通过 防火 墙 访问 
Internet 时 ,经 常会 发 现存 在 延迟 并 且 必 须 进 行 多 次 登录 才能 访问 Internet 或 Intranet。 


7.4.4 防火 墙 的 选择 


1. 防火 墙 的 选择 原则 


设计 和 选用 防火 墙 首先 要 明确 哪些 数据 是 必须 保护 的 ,这 些 数据 被 侵入 会 导致 什么 
样 的 后 果 及 网 络 不 同 区 域 需要 什么 等 级 的 安全 级 别 。 不 管 采 用 原始 设计 还 是 使 用 现成 的 
防火 墙 产 品 ,对 于 防火 墙 的 安全 标准 ,首先 需 根据 安全 级 别 确定 ; 其 次 ,设计 或 选用 防火 
墙 必须 与 网 络 接口 匹配 ,要 防止 可 能 的 各 种 威胁 。 防 火 墙 可 以 是 软件 或 硬件 模块 ,并 能 集 
成 于 网 桥 、 网 关 或 路 由 器 等 设备 之 中 。 

1) 选择 防火 墙 时 要 注意 防火 墙 自 身 的 安全 性 

大 多 数 人 在 选择 防火 墙 时 都 将 注意 力 放 在 防火 墙 如 何 控 制 连接 以 及 防火 墙 支 持 多 少 
种 服务 上 ,但 往往 忽略 一 点 : 防火 墙 也 是 网 络 上 的 设备 ,也 可 能 存在 安全 问题 。 如 果 防 火 
墙 不 能 确保 自身 安全 ,即使 其 控制 功能 再 强 , 也 终究 不 能 完全 保护 内 部 网 络 。 

2) 要 考虑 防火 墙 应 用 部 门 的 安全 策略 中 的 特殊 需求 

(1) IP 地 址 转换 

进行 IP 地 址 转换 有 两 个 好 处 ,其 一 是 隐藏 内 部 网 络 真正 的 IP, 这 可 以 使 黑客 无 法 直 
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接 攻 击 内 部 网 络 ,也 是 要 强调 防火 墙 自身 安全 性 问题 的 主要 原因 ; 其 二 是 可 以 让 内 部 用 
户 使 用 保留 的 全 ,这 对 许多 IP 不 足 的 企业 是 有 益 的 。 

(2) 双重 DNS 

当 内 部 网 络 使 用 没有 注册 的 IP 地 址 ,或 是 防火 墙 进行 IP 转换 时 ,DNS 也 必须 经 过 
转换 。 因 为 同样 的 一 个 主机 在 内 部 的 IP 与 给 予 外 界 的 IP 将 会 不 同 , 有 的 防火 墙 会 提供 
双重 DNS, 有 的 则 必须 在 不 同 主机 上 各 安装 一 个 DNS。 

(3) 虚拟 专用 网 络 (VPN) 

VPN 可 以 在 防火 墙 与 防火 墙 或 移动 的 客户 机 间 对 所 有 网 络 传输 的 内 容 加 密 , 并 建立 
一 个 虚拟 通道 ,让 两 者 间 感 觉 是 在 同一 个 网 络 上 ,可 以 安全 上 且 不 受 拘 束 地 互相 存 取 。 

(4) 病毒 扫描 功能 

大 部 分 防火 墙 都 可 以 与 防 病毒 防火 墙 搭配 以 实现 病毒 扫描 功能 。 有 的 防火 墙 则 可 以 
直接 集成 病毒 扫描 功能 ,差别 在 于 病毒 扫描 工作 是 由 防火 墙 完成 还 是 由 另 一 台 专 用 的 计 
算 机 完成 。 

(5) 特殊 控制 需求 

有 时 候 企业 会 有 特别 的 控制 需求 ,如 限制 特定 使 用 者 才能 发 送 E-mail,FTP 只 能 得 
到 档案 不 能 上 传 档案 ,限制 同时 上 网 人 数 、 使 用 时 间 等 , 依 需求 不 同 而 定 。 

3) 如 何在 其 中 选择 最 符合 需要 的 产品 

产品 的 选择 是 用 户 非常 关心 的 事情 ,所 以 ,在 选 购 防火 墙 软件 时 ,明确 防火 墙 应 是 一 
个 整体 网 络 的 保护 者 ,必须 能 弥补 其 他 操作 系统 的 不 足 , 应 为 使 用 者 提供 不 同 平台 的 选 
择 , 应 能 向 使 用 者 提供 完善 的 售后 服务 等 。 


2. 防火 墙 的 选用 策略 


在 选择 防火 墙 产品 的 时 候 , 首 先 需 要 考虑 的 是 防火 墙 厂商 的 技术 实力 和 产品 的 核心 
体系 架构 。 这 些 因素 是 一 个 产品 最 本 质 的 东西 ,是 产品 能 否 具 有 良好 品质 的 保证 。 防 火 
墙 最 重要 的 作用 就 是 在 网 络 边 界 实现 保护 作用 ,保护 能 力 与 防火 墙 体系 结构 和 运行 机 制 
有 直接 的 关系 ,历史 上 每 一 次 体系 结构 上 的 演变 都 会 带 来 防火 墙 功 能 的 质 的 飞跃 。 

在 防火 墙 产 品 的 核心 体系 架构 方面 ,不 同 厂商 的 防火 墙 产品 存在 差异 ,而 且 有 时 差异 
性 还 很 大 , 正 是 这 些 差 异 导致 了 防火 墙 产 品 在 鲁 棒 性 .可 靠 性 以 及 性 能 上 的 大 幅 差异 ,但 
是 由 于 产品 的 核心 技术 架构 是 一 个 比较 抽象 的 概念 ,因此 很 多 用 户 并 不 是 十 分 重视 。 

选 购 防 火 墙 前 ,要 制定 一 个 较 周 密 的 计划 。 要 考虑 把 防火 墙 放 在 网 络 系统 的 哪 一 个 
位 置 上 ,才能 满足 自己 的 需求 ,才能 确定 欲 购 的 防火 墙 所 能 承受 的 风险 水 平 。 

选 购 防 火 墙 时 ,要 了 解 防火 墙 的 最 基本 性 能 ,如 防火 墙 除 包 含 先 进 的 鉴别 措施 ,还 应 
采用 如 包 过 滤 技 术 、 加 密 技术 、 可 信 的 信息 技术 等 尽量 多 的 技术 ; 同时 需要 配备 身份 识别 
及 验证 ,信息 的 保密 性 保护 、 信 息 的 完整 性 校 验 、 系 统 的 访问 控制 机 制 等 ; 应 具备 若干 诸 
如 源 地址 和 目的 IP 地址、 协议 类 型 , 源 端口 和 目的 TCP/IP 端口 及 出 入 接口 等 过 滤 属 性 ; 
应 包含 集中 化 的 SMTP 访问 能 力 , 以 简化 本 地 与 远程 系统 的 SMTP 连接 ,实现 本 地 
E-mail 集中 处 理 ; 防火 墙 及 操作 系统 应 该 可 更 新 ,并 能 用 简易 的 方法 解决 系统 故障 等 ; 
随 着 网 络 技 术 的 发 展 和 变化 ,防火 墙 应 具有 可 扩展 、 可 升级 性 。 
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3. 防火 墙 方案 的 特点 


一 个 优秀 的 计算 机 网 络 安全 保障 系统 必须 建立 在 对 计算 机 网 络 安全 需求 与 环境 的 客 
观 分 析 评 估 基 础 上 ,在 网 络 的 应 用 性 能 、 价 格 和 安全 保障 需求 之 间 确 定 一 个 “最 佳 平 衡 
点 ”, 使 得 计算 机 网 络 安全 保障 引入 的 额外 开销 与 它 所 带 来 的 效益 相当 。 根 据 企 业 计 算 机 
网 络 的 具体 特点 ,建议 采用 的 防火 墙 安全 系统 具有 以 下 几 个 特点 。 

(1) 设备 和 人 员 费 用 比较 低廉 

这 主要 包括 : 无 须 购 入 成 套 的 安全 设备 ,主要 利用 软件 而 非 硬件 来 实现 ,比如 软件 型 
的 防火 墙 ,使 用 费用 比较 低廉 的 共享 版 本 或 者 免费 版 本 的 软件 等 ; 培训 内 部 人 员 的 安全 
技术 ,系统 的 安全 性 维护 主要 由 内 部 技术 人 员 完 成 。 

(2) 统一 部 署 安全 策略 

在 安全 专家 的 指导 下 ,建立 统一 的 安全 制度 和 措施 ,堵塞 一 切 由 于 系统 配置 不 当 造 成 
的 明显 的 安全 漏洞 。 

(3) 良好 的 升级 扩展 性 

一 套 相对 安全 的 安全 系统 并 不 意味 着 会 永远 保持 “相对 的 安全 性 ”, 当 企业 的 关键 性 
业务 发 展 到 某 个 程度 时 ,或 许 需要 提高 企业 内 部 网 的 安全 性 能 ,这 就 要 求 原先 的 系统 具有 
良好 的 可 扩展 性 。 这 主要 体现 在 可 以 通过 适当 地 追加 投资 大 幅度 提高 企业 内 部 网 络 的 安 
全 性 能 ,但 安全 系统 的 基本 模式 不 发 生 巨大 变化 ,以 免 导致 管理 上 的 困难 。 


7.5 ”入侵 检 测 技术 


对 于 网 络 人 侵 , 我 们 一 般 的 防卫 手段 是 使 用 防火 墙 , 但 由 于 防火 墙 处 于 网 关 的 位 置 ， 
不 可 能 对 进出 攻击 作 太 多 判断 ,否则 会 严重 影响 网 络 性 能 。 这 时 就 需要 一 种 新 的 安全 技 
术 一 一 入 侵 检 测 技术 ,来 发 现 网 络 入 侵 者 的 入 侵 行为 和 企图 。 同 时 ,对 网 络 或 系统 上 的 可 
疑 行为 做 出 相应 的 反应 ,及 时 切断 入 侵 源 , 保 护 现场 并 通过 各 种 途径 通知 网 络 管理 员 , 主 
动 保 护 自己 免 受 攻击 。 


7.5.1 入 侵 检 测 系统 概述 


1. 入 侵 检 测 系统 的 概念 


从 计算 机 网 络 系统 的 角度 看 ,“ 入 侵 " 主 要 是 指 对 计算 机 和 网 络 系统 资源 的 非 授 权 操 
作 。 入 侵 检 测 是 指 通 过 对 计算 机 和 网 络 上 的 行为 .安全 日 志 或 审计 数据 或 其 他 可 以 获得 
的 信息 进行 操作 ,检测 到 对 系统 的 问 入 或 闯 入 的 企图 (参见 GB/T 18336)。 入 侵 检 测 技 
术 是 为 保证 计算 机 系统 的 安全 而 设计 与 配置 的 一 种 能 够 及 时 发 现 并 报告 系统 中 未 授权 或 
异常 现象 的 技术 ,是 一 种 用 于 检测 计算 机 网 络 中 违反 安全 策略 或 危及 系统 安全 的 行为 或 
活动 的 技术 。 用 于 入 侵 检 测 的 软件 与 硬件 的 组 合 便 是 和 人 侵 检测 系统 (intrusion detection 
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system,IDS)。 入 侵 检测 系统 处 于 防火 墙 之 后 对 网 络 活动 进 行 实时 检测 。 许 多 情况 下 ， 
由 于 可 以 记录 和 禁止 网 络 活动 ,所 以 人 侵 检测 系统 是 防火 墙 的 延续 。 它 们 可 以 与 防火 墙 
和 路 由 器 配合 工作 。 

在 本 质 上 ,入侵 检测 系统 是 一 个 典型 的 “监测 设备 ”。 与 其 他 预防 性 的 安全 机 制 相 比 ， 
它 是 一 种 事后 处 理 方案 ,具有 智能 监控 、 实 时 监测 .快速 响应 和 易于 配置 管理 等 特点 。 该 
系统 不 必 跨 接 多 个 物理 网 段 ,无 须 转发 任何 流量 ,只 需要 在 网 络 上 被 动 的 .无 声息 的 收集 
它 所 关心 的 数据 包 即 可 。 对 收集 来 的 报 文 , 入 侵 检测 系统 提取 相应 的 流量 统计 特征 值 ,并 
利用 内 署 的 入侵 知识 库 ,与 这 些 流 量 特征 进行 智能 分 析 , 根 据 预 设 的 闵 值 进行 匹配 ,耦合 
度 较 高 的 报 文 将 被 认为 是 入 侵 。 入 侵 检测 系统 将 根据 相应 的 配置 进行 报警 或 进行 有 限度 
的 反击 。 


2. 入 侵 检测 系统 的 作用 


入 侵 检测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 安全 管 
理 能 力 (包括 安全 审计 ,监视 .进攻 识别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 它 
从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 分 析 这 些 信 息 ,看 看 网 络 中 是 否 有 违反 安 
全 策略 的 行为 和 唱 到 袭击 的 迹象 。 它 具有 以 下 主要 作用 。 

(1) 检测 黑客 常用 入 侵 与 攻击 行为 ,提前 为 管理 员 示警 

人 侵 检测 技术 通过 分 析 各 种 攻击 的 行为 特征 ,在 黑客 在 进行 人 侵 的 第 一 步 探测 .收集 
网 络 及 系统 信息 时 就 捕获 他 们 ,从 而 全 面 快速 地 识别 探测 攻击 、 拒 绝 服 务 攻击 、 缓 冲 区 溢 
出 攻击 、 电 子 邮 件 攻击 、 浏 览 器 攻击 等 各 种 常用 攻击 手段 ,并 向 管理 员 发 出 警告 ,做 出 相应 
的 防范 。 

(2) 监控 网 络 异常 通信 和 安全 违规 行为 

入 侵 检测 系统 会 对 网 络 中 不 正常 的 通信 连接 做 出 反应 ,保证 网 络 通信 的 合法 性 ; 通 
过 检测 和 记录 网 络 中 的 安全 违规 行为 ,防止 计算 机 网 络 安全 受到 威胁 ; 检测 其 他 安全 措 
施 未 能 阻止 的 攻击 或 安全 违规 行为 。 任 何不 符合 计算 机 网 络 安全 策略 的 网 络 数据 都 会 被 
入 侵 检 测 系统 侦 测 到 并 警告 。 

(3) 鉴别 对 系统 漏洞 及 后 门 安全 威胁 

入 侵 检测 系统 一 般 拥 有 系统 漏洞 及 后 门 的 详细 信息 ,通过 对 网 络 数据 包 连 接 的 方式 、 
连接 端口 以 及 连接 中 特定 的 内 容 等 特征 分 析 , 可 以 有 效 地 发 现 网 络 通信 中 针对 系统 漏洞 
进行 的 非法 行为 ,从 而 报告 计算 机 系统 或 网 络 中 存在 的 安全 威胁 和 相关 攻击 信息 ,帮助 管 
理 员 诊断 网 络 中 的 安全 漏洞 ,以便 进行 安全 修补 。 

(4) 完善 计算 机 网 络 安全 管理 
通过 对 攻击 或 人 侵 的 检测 及 反应 ,可 以 有 效 地 发 现 和 防止 大 部 分 的 网 络 犯 罪行 为 ,给 

上 算 机 网 络 安全 管理 提供 了 一 个 集中 方便 ,有效 的 工具 。 使 用 入 侵 检测 系统 的 监测 、 统 
分析、 报警 功能 ,可 以 进一步 完善 网 络 管理 ,提高 计算 机 网 络 安全 管理 的 质量 。 


3. 入 侵 检测 系统 的 工作 流程 


二 


二 


和 人 侵 检测 系统 的 工作 流程 大 致 分 为 信息 收集 、 信 号 分 析 和 结果 处 理 等 几 个 步骤 。 
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(1) 信息 收集 

人 侵 检测 的 第 一 步 是 数据 收集 ,内 容 包 括 系统 .网 络 运行 .数据 及 用 户 活动 的 状态 和 
行为 ,而 且 , 需 要 在 计算 机 网 络 系统 中 的 若干 不 同 关 键 点 (不 同 网 段 和 不 同 主机 ) 收 集 数 
据 。 入 侵 检测 很 大 程度 上 依赖 于 收集 数据 的 准确 性 与 可 靠 性 ,因此 ,必须 使 用 精确 的 软件 
来 报告 这 些 信 息 , 因 为 黑客 经 常 蔡 换 软件 以 搞 混 和 移 走 这 些 数据 ,例如 替换 被 程序 调用 的 
子 程序 . 库 和 其 他 工具 。 数 据 的 收集 主要 来 源 以 下 几 个 方面 : 系统 和 网 络 日 志文 件 、 目 录 
和 文件 不 期 望 的 改变 ,程序 不 期 望 的 行为 以 及 物理 形式 的 入 侵 数据 等 。 

(2) 信号 分 析 

对 上 述 收集 到 的 信息 ,又 需要 进行 数据 提取 和 数据 分 析 的 处 理 。 数 据 提取 是 对 收集 
到 的 有 关系 统 、 网 络 运 行 ,数据 及 用 户 活动 的 状态 和 行为 等 数据 按照 相应 的 规则 提取 有 用 
的 数据 。 数 据 分 析 是 在 已 提取 的 信息 数据 基础 上 ,通过 三 种 技术 手段 进行 分 析 , 即 模式 匹 
配 、 统 计 分析 和 完整 性 分 析 。 其 中 前 两 种 方法 用 于 实时 的 入侵 检测 ,而 完整 性 分 析 则 用 于 
事后 分 析 。 

模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 人 侵 数据 库 进 行 比 较 , 从 而 发 现 违背 安 
全 策略 的 行为 。 该 过 程 可 以 很 简单 ,比如 通过 字符 串 匹配 来 寻找 一 个 简单 的 指令 ,或 是 一 
个 简单 的 关键 词 。 它 也 可 以 很 复杂 ,比如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 
等 。 一 般 来 讲 , 一 种 进攻 模式 可 以 用 一 个 过 程 来 表示 ,例如 执行 一 条 指令 ; 或 者 是 用 一 个 
输出 来 表示 ,例如 获得 权限 等 。 该 方法 的 优点 是 只 需 收集 相关 的 数据 集合 ,系统 负担 较 
低 , 且 已 形成 相当 成 熟 的 技术 。 但 是 ,该 方法 也 存在 弱点 ,就 是 需要 不 断 的 升级 数据 库 , 增 
加 新 的 知识 以 对 付 不 断 出 现 的 黑客 攻击 手法 ,对 在 数据 库 中 没有 的 黑客 攻击 手段 则 无 法 
检测 。 

统计 分 析 方法 首先 给 系统 的 用 户 .文件 .目录 和 设备 等 对 象 创建 一 个 统计 描述 ,统计 
正常 使 用 时 的 一 些 测量 属性 ,例如 访问 次 数 、 操 作 失败 次 数 和 延 时 等 。 测 量 属性 的 平均 值 
将 被 用 来 与 网 络 或 系统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 时 ,就 认为 有 入 侵 
发 生 。 例 如 ,统计 分 析 可 能 标识 一 个 不 正常 行为 ,原来 某 个 从 来 不 在 晚上 登录 网 络 的 用 
户 ,现在 却 在 夜晚 1 点 登录 了 。 这 种 方法 的 优点 是 可 检测 到 未 知 的 入 侵 和 更 为 复杂 的 人 
侵 ,缺点 是 误 报 、 漏 报 率 高 , 且 不 适应 用 户 正常 行为 的 突然 改变 。 

完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 这 经 常 包括 文件 和 目录 的 内 容 及 
属性 , 它 在 发 现 被 更 改 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 利 用 强 有 力 的 加 密 机 制 , 它 
能 识别 哪怕 是 微小 的 变化 。 其 优点 是 不 管 模式 匹配 方法 和 统计 分 析 方 法 能 否 发 现 入 侵 ， 
只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 , 它 都 能 够 发 现 。 缺 点 是 一 般 以 批 
处 理 方式 实现 ,不 用 于 实时 响应 ,多 在 某 个 特定 时 间 内 开启 完整 性 分 析 模 块 ,对 网 络 系统 
进行 全 面 地 扫描 检查 。 尽 管 如 此 ,完整 性 检测 方法 还 应 该 是 计算 机 网 络 安全 产品 的 必要 
手段 之 一 。 

(3) 结果 处 理 

数据 分 析 发 现 人 侵 迹象 后 ,入 侵 检 测 系统 的 下 一 步 就 是 对 结果 的 响应 处 理 。 目 前 多 
数 入 侵 检测 系统 一 般 采取 下 列 处 理 方法 。 

。 记录 入 侵 事件 ,将 分 析 结 果 记 录 在 日 志文 件 中 ,并 产生 相应 的 报告 。 
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。 控制 台 按 照 预先 定义 的 告警 响应 采取 相应 措施 ,如 发 出 警报 声音 ; 或 在 系统 管理 员 
桌面 上 产生 一 个 警报 图 标 或 标志 位 ; 或 者 向 管理 员 发 送 呼叫 信息 .电子 邮件 等 。 

。 采取 相应 的 防护 措施 ,修改 入 侵 检测 系统 、 网 络 或 目标 系统 等 ,例如 重新 配置 路 由 
器 或 防火 墙 .终止 进程 .切断 攻击 者 的 网 络 连 接 、 改 变 文件 属性 、 用 户 权 限 等 。 


7.5.2 入 侵 检测 系统 的 分 类 


从 认识 入侵 检测 系统 的 角度 不 同 , 分 类 方法 也 多 种 多 样 , 比 如 可 以 从 体系 结构 、 同 步 
人 性、 检测 对 象 、 检 测 技术 、 响 应 方式 ,时效 性 等 多 个 角度 来 分 。 其 中 检测 对 象 和 检测 技术 是 
目前 国内 使 用 较为 广泛 的 分 类 方式 。 


1. 按照 检测 技术 分 类 


根据 入 侵 检测 系统 所 采用 的 技术 可 以 划分 为 分 异常 入 侵 检 测 、. 误 用 入 侵 检 测 和 协议 
分 析 入 侵 检测 三 种 检测 模型 。 

异常 检测 模型 (anomaly detection model) 是 通过 检测 与 可 接受 行为 之 间 的 偏差 来 确 
定 人 侵 行 为 的 技术 。 要 确定 行为 偏差 ,首先 要 建立 一 个 主体 正常 活动 行为 特征 的 数据 库 。 
将 当前 主体 的 活动 行为 与 数据 库 内 的 特征 信息 相 比较 ,如 果 用 户 活动 与 正常 行为 有 重大 
偏离 时 , 则 认为 该 活动 可 能 是 入 侵 行为 。 异 常 检测 模型 的 难题 在 于 如 何 建立 活动 行为 数 
据 库 , 以 及 如 何 设计 统计 算法 ,从 而 不 把 正常 的 操作 行为 误 认 为 是 入 侵 行为 。 因 为 不 需要 
对 每 种 入 侵 行为 进行 定义 ,所 以 能 有 效 检测 未 知 的 入 侵 。 

误 用 检测 模型 (misuse detection model) 又 称 为 基于 特征 的 入 侵 检 测 , 这 一 检测 假设 
入 侵 者 的 活动 可 以 用 一 种 模式 来 表示 ,系统 检测 与 已 知 的 不 可 接受 行为 之 间 的 匹配 程度 。 
如 果 可 以 定义 所 有 的 不 可 接受 行为 ,那么 每 种 能 够 与 之 匹配 的 行为 都 会 引起 告警 。 收 集 
非 正 常 操作 的 行为 特征 ,建立 相关 的 特征 库 , 当 监测 的 用 户 或 系统 行为 与 库 中 的 记录 相 匹 
配 时 ,系统 就 认为 这 种 行为 是 入 侵 。 这 种 检测 模型 对 于 已 知 的 攻击 , 它 可 以 详细 ,准确 地 
报告 出 攻击 类 型 ,但 对 未 知 攻击 方法 无 能 为 力 。 由 于 新 的 攻击 不 断 出 现 ,因此 特征 库 必须 
不 断 更 新 。 

协议 分 析 是 在 传统 模式 匹配 技术 基础 上 发 展 起 来 的 一 种 新 的 入 侵 检测 技术 , 它 是 根 
据 针 对 协议 的 攻击 行为 实现 的 。 甚 基本 思想 是 : 首先 把 各 种 可 能 针对 协议 的 攻击 行为 描 
述 出 来 ,其 次 建立 用 于 分 析 的 规则 库 , 最 后 利用 传感器 检查 协议 中 的 有 效 荷 载 ,并 详细 解 
析 , 从 而 实现 人 侵 检 测 。 它 充分 利用 网 络 协议 的 高 度 有 序 性 ,并 结合 了 高 速 数据 包 捕 捉 、 
协议 分 析 和 命令 解析 ,来 快速 检测 某 种 攻击 特征 是 否 存 在 。 这 种 技术 正 逐 渐进 入 成 熟 应 
用 阶段 。 


2. 按照 检测 对 象 划分 


入侵 检测 系统 按照 检测 对 象 划分 可 以 分 成 3 类 , 即 基于 主机 型 入 侵 检 测 系统 、 基 于 网 
络 型 人 侵 检 测 系统 和 基于 代理 的 入侵 检测 系统 。 
基于 主机 的 人 侵 检测 系统 通常 以 系统 日 志 、 应 用 程序 日 志 等 审计 记录 文件 作为 数据 
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源 。 它 是 通过 比较 这 些 审 计 记 录 文 件 的 记录 与 攻击 签名 来 发 现 它们 是 否 匹 配 。 如 果 匹 
配 , 检 测 系统 向 系统 管理 员 发 出 入 侵 报警 并 采取 相应 的 行动 。 基 于 主机 的 入 侵 检测 系统 
可 以 精确 地 判断 入 侵 事 件 , 并 可 对 入 侵 事 件 及 时 做 出 反应 。 它 还 可 针对 不 同 操作 系统 的 
特点 判断 应 用 层 的 入 侵 事 件 。 基 于 主机 的 入 侵 检 测 系 统 有 着 明显 的 优点 : 适合 于 加 密 和 
交换 环境 ; 可 实时 的 检测 和 响应 ; 不 需要 额外 的 硬件 ; 对 系统 内 在 的 结构 却 没有 任何 约 
东 ; 可 以 利用 操作 系统 本 身 提供 的 功能 ,并 结合 异常 检测 分 析 , 更 能 准确 地 报告 攻击 行 
为 。 基 于 主机 的 人 侵 检测 系统 存在 的 不 足 之 处 是 : 会 占用 主机 的 系统 资源 ; 增加 系统 负 
荷 ; 针对 不 同 的 操作 平台 必须 开发 出 不 同 的 程序 ; 另外 所 需 配置 的 主机 数量 众多 。 

基于 网 络 的 入 侵 检 测 系统 把 原始 的 网 络 数据 包 作为 数据 源 。 利 用 网 络 适配器 来 实时 
地 监视 并 分 析 通 过 网 络 进行 传输 的 所 有 通信 业务 。 它 的 攻击 识别 模块 进行 攻击 签名 识别 
的 方法 有 模式 ,表达 式 或 字 节 码 匹配 ,频率 或 阔 值 比较 ,次 要 事件 的 相关 性 处 理 , 统 计 异 常 
检测 。 一 旦 检测 到 攻击 ,入 侵 检测 系统 的 响应 模块 通过 通知 .报警 以 及 中 断 连 接 等 方式 来 
对 攻击 行为 做 出 反应 。 其 优势 有 : 成 本 低 ; 攻击 者 转移 证 据 困难 ; 实时 检测 和 响应 ; 能 
够 检测 到 未 成 功 的 攻击 企图 ; 与 操作 系统 无 关 , 即 基于 网 络 的 入 侵 检测 系统 并 不 依赖 主 
机 的 操作 系统 作为 检测 资源 。 不 足 之 处 是 : 它 只 能 监视 通过 本 网 段 的 活动 ; 精确 度 较 
差 ; 在 交换 网 络 环境 中 难于 配置 ; 防 欺骗 的 能 力也 比较 差 。 

基于 代理 的 人 侵 检 测 系统 用 于 监视 大 型 网 络 系统 。 随 着 网 络 系统 的 复杂 化 和 大 型 
化 ,系统 弱点 趋 于 分 布 式 , 而 且 攻击 行为 也 表现 为 相互 协作 式 特点 ,所 以 不 同 的 IDS 之 间 
需要 共享 信息 ,协同 检测 。 整 个 系统 可 以 由 一 个 中 央 监 视 器 和 多 个 代理 组 成 。 中 央 监 视 
器 负 责 对 整个 监视 系统 的 管理 , 它 应 该 处 于 一 个 相对 安全 的 地 方 。 代 理 则 被 安放 在 被 监 
视 的 主机 上 (如 服务 器 、 交 换 机 和 路 由 器 等 )。 代 理 负责 对 某 一 主机 的 活动 进行 监视 ,如 
收集 主机 运行 时 的 审计 数据 和 操作 系统 的 数据 信息 ,然后 将 这 些 数 据 传 送 到 中 央 监 视 
器 。 代 理 也 可 以 接受 中 央 监 控 器 的 指令 ,这 种 系统 的 优点 是 可 以 对 大 型 分 布 式 网 络 进 
行 检 测 。 


7.5.3 入 侵 检 测 技术 的 发 展 方向 


入 侵 检测 技术 和 入 侵 技术 是 一 对 共生 的 事物 ,在 入 侵 检 测 技 术 发 展 的 同时 ,入 侵 技术 
也 在 不 断 进步 与 发 展 。 随 着 信息 系统 对 一 个 国家 的 社会 生产 与 国民 经 济 的 影响 越 来 越 重 
要 ,要 保护 网 络 和 信息 的 安全 ,入 侵 检 测 技术 则 是 其 安全 实现 中 不 可 缺少 的 部 分 。 入 侵 技 
术 的 发 展 有 下 列 几 个 方向 。 

(1) 分 布 式 入 侵 检 测 与 通用 入 侵 检 测 架 构 (common intrusion detection frame-work， 
CIDF) 

传统 的 IDS 一 般 局 限于 单一 的 主机 或 网 络 架 构 , 对 异 构 系统 及 大 规模 网 络 的 监测 明 
显 不 足 。 同 时 不 同 的 IDS 系统 之 间 不 能 协同 工作 ,为 解决 这 一 问题 ,需要 分 布 式 入 侵 检 
测 技 术 与 通用 入 侵 检测 架构 。CIDF 以 构建 通用 的 IDS 体系 结构 与 通信 系统 为 目标 , 基 
于 曲线 入 侵 检 测 系 统 (graph-based intrusion detection system,GrIDS) 跟 踪 与 分 析 分 布 系 
统 入 侵 以 及 实现 在 大 规模 的 网 络 与 复杂 环境 中 的 人 侵 检 测 。 
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(2) 应 用 层 入 侵 检测 

许多 入 侵 的 语义 只 有 在 应 用 层 才能 理解 ,而 目前 的 IDS 仅 能 检测 如 Web 之 类 的 通用 
协议 ,而 不 能 处 理 如 Lotus p40tes、 数 据 库 系统 等 其 他 的 应 用 系统 。 许 多 基于 客户 、 服 务 
器 结构 与 中 间 件 技术 及 对 象 技术 的 大 型 应 用 ,需要 应 用 层 的 入 侵 检测 保护 。 另 外 ,基于 
CORBA(common object request broker architecture) 环 境 下 的 IDS 也 是 一 个 重要 的 发 展 
方向 。 

(3) 智能 的 入侵 检测 

入 侵 方 法 越 来 越 多 样 化 与 综合 化 ,尽管 已 经 有 智能 体 、 神 经 网 络 与 遗传 算法 在 入 侵 检 
测 领 域 应 用 研究 ,但 是 这 只 是 一 些 尝 试 性 的 研究 工作 ,需要 对 智能 化 的 IDS 加 以 进一步 
的 研究 以 解决 其 自学 习 与 自 适应 能 力 。 

(4) 人 侵 检测 的 评测 方法 

用 户 需 对 众多 的 IDS 系统 进行 评价 ,评价 指标 包括 IDS 检测 范围 ,系统 资源 占用 、 
IDS 系统 自身 的 可 靠 性 。 从 而 设计 通用 的 入 侵 检测 测试 与 评估 方法 和 平台 ,实现 对 多 种 
IDS 系统 的 检测 已 成 为 当前 IDS 的 男 一 重要 研究 与 发 展 领域 。 

(5) 全 面 的 安全 防御 方案 

该 方案 使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 计算 机 网 络 安全 问题 ,将 计算 机 
网 络 安全 作为 一 个 整体 工程 来 处 理 。 从 管理 .网 络 结构 、 加 密 通 道 、 防 火 墙 病毒 防护 和 入 
侵 检测 多 方位 全 面 对 所 关注 的 网 络 作 全 面 的 评估 ,然后 提出 可 行 的 全 面 解决 方案 。 

(6) B/S 结构 的 入 侵 检 测 

目前 使 用 的 C/S 结构 软件 ( 即 客户 机 /服务 器 模式 ) 分 为 客户 机 和 服务 器 两 层 。 客 户 
机 不 是 毫 无 运算 能 力 的 输入 、 输 出 设备 ,而 具备 了 一 定 的 数据 处 理 和 数据 存储 能 力 。 通 过 
把 应 用 软件 的 计算 和 数据 合理 地 分 配 在 客户 机 和 服务 器 两 端 , 可 以 有 效 地 降低 网 络 通信 
量 和 服务 器 运算 量 。 由 于 服务 器 连接 数量 和 数据 通信 量 的 限制 ,这 种 结构 的 软件 适 于 在 
用 户 数目 不 多 的 局 域 网 内 使 用 。B/S 结构 软件 (浏览 器 /服务 器 模式 ) 是 随 着 Internet 技 
术 的 兴起 ,对 C/S 结构 的 一 种 改进 。 在 这 种 结构 中 ,软件 应 用 的 业务 逻辑 完全 在 应 用 服 
务 器 端 实现 ,用 户 表现 完全 在 Web 服务 器 实现 ,客户 端 只 需要 浏览 器 即 可 进行 业务 处 理 ， 
是 一 种 全 新 的 软件 系统 构造 技术 。 这 种 结构 已 经 成 为 当今 应 用 软件 的 首选 体系 结构 。 

(7) 智能 关联 

智能 关联 是 将 企业 相关 系统 的 信息 (如 主机 特征 信息 ) 与 网 络 IDS 检测 结构 相 融 
合 , 从 而 减少 误差 。 如 系统 的 脆弱 性 信息 需要 包括 特定 的 操作 系统 (OS) 以 及 主机 上 运 
行 的 服务 。 当 IDS 使 用 智能 关联 时 , 它 可 以 参考 目标 主机 上 存在 的 ,与 脆弱 性 相关 的 
所 有 告警 信息 。 如 果 目 标 主机 不 存在 某 个 攻击 可 以 利用 的 漏洞 ,IDS 将 抑制 告警 的 产 
生 。 智 能 关联 包括 主动 关联 和 被 动 关 联 。 主 动 关联 是 通过 扫描 确定 主机 漏洞 ; 被 动 关 
联 是 借助 操作 系统 的 指纹 识别 技术 , 即 通过 分 析 IP、TCP 报头 信息 识别 主机 上 的 操作 
系统 。 

(8) 告警 泛滥 抑制 

IDS 产品 使 用 告警 泛滥 抑制 技术 可 以 降低 误 警 率 。 在 利用 漏洞 的 攻击 势头 逐渐 变 强 
之 时 ,IDS 短 时 间 内 会 产生 大 量 的 告警 信息 ,而 IDS 传感器 却 要 对 同一 攻击 重复 记录 ,万 
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其 是 蠕虫 在 网 络 中 自我 繁殖 的 过 程 中 ,这 种 现象 最 为 严重 , 称 为 “告警 他 和 ”。 所 谓 * 告 警 
泛滥 ?是 指 短 时 间 内 产生 的 关于 同一 攻击 的 告警 。 下 一 代 IDS 产品 利用 一 些 规则 (规则 
的 制定 需要 考虑 传感器 ) 筛 选 产生 的 告警 信息 来 抑制 告警 泛滥 。IDS 可 根据 用 户 需求 减 
少 或 抑制 短 时 间 内 同一 传感器 针对 某 个 流量 产生 的 重复 告警 。 这 样 , 网 管 人 员 可 以 专注 
于 公司 网 络 的 安全 状况 ,不 至 于 为 泛滥 的 告警 信息 大 伤 脑筋 。 告 警 泛滥 抑制 技术 是 将 一 
些 规 则 或 参数 (包括 警告 类 型 . 源 IP、 目 的 IP 以 及 时 间 窗 口 大 小 ) 融 入 IDS 传感器 中 ,使 
传感器 能 够 识别 告警 他 和 现象 并 实施 抑制 操作 。 有 了 这 种 技术 ,传感器 可 以 在 告警 前 对 
警报 进行 预 处 理 , 抑 制 重复 告警 。 例 如 ,可 以 对 传感器 进行 适当 配置 ,使 它 忽略 在 30s 内 
产生 的 针对 同一 主机 的 告警 信息 。IDS 在 抑制 告警 的 同时 可 以 记录 这 些 重 复 警 告 用 于 事 
后 的 统计 分 析 。 

(9) 告警 融合 

该 技术 是 将 不 同 传感器 产生 的 .具有 相关 性 的 低级 别 告警 融合 成 更 高 级 别 的 警告 信 
息 , 这 有 助 于 解决 误 报 和 漏 报 问 题 。 当 与 低级 别 警告 有 关 的 条 件 或 规则 满足 时 ,安全 管理 
员 在 IDS 上 定义 的 元 告警 相关 性 规则 就 会 促使 高 级 别 警告 产生 。 如 扫描 主机 事件 ,如 果 
单独 考虑 每 次 扫描 ,可 能 认为 每 次 扫描 都 是 独立 的 事件 ,而 且 对 系统 的 影响 可 以 忽略 不 
计 ; 但 是 ,如 果 把 在 短 时 间 内 产生 的 一 系列 事件 整合 考虑 ,会 有 不 同 的 结论 。IDS 在 
10min 内 检测 到 来 自 于 同一 IP 的 扫描 事件 ,而 且 扫 描 强 度 在 不 断 升级 ,安全 管理 人 员 可 
以 认为 是 攻击 前 的 渗透 操作 ,应 该 作为 高 级 别 告警 对 待 。 这 个 例子 告诉 我 们 告警 融合 技 
术 可 以 发 出 早期 攻击 警告 ,如 果 没 有 这 种 技术 ,需要 安全 管理 员 来 判断 一 系列 低级 别 告 
是 否 是 随后 更 高 级 别 攻击 的 先兆 ; 而 通过 设置 元 警告 相关 性 规则 ,安全 管理 员 可 以 把 精 
力 都 集中 在 高 级 别 警告 的 处 理 上 。 

(10) 可 信任 防御 模型 

改进 的 IDS 中 应 该 包含 可 信任 防御 模型 的 概念 。2004 年 多 数 传统 的 IDS 供应 商 已 
经 逐渐 地 把 防御 功能 加 入 到 IDS 产品 中 。 与 此 同 ,IDS( 入 侵 防 御 系 统 ) 产 品 的 使 用 率 在 
增长 ,但 是 安全 人 士 仍然 为 IDS 产品 预 留 了 实现 防御 功能 的 空间 。IDS 产品 供应 商 之 所 
以 这 样 做 ,部 分 原因 在 于 他 们 认识 到 防御 功能 能 否 有 效 地 实施 的 关键 在 于 检测 功能 的 准 
确 性 和 有 效 性 。 没 有 精确 的 检测 就 谈 不 上 建立 可 信任 的 防御 模型 ; 所 以 ,开发 出 好 的 内 
嵌 防 御 功 能 的 IDS 产品 关键 在 于 提高 检测 的 精确 度 。 在 下 一 代 IDS 产品 中 ,融入 可 信任 
防御 模型 后 ,将 会 对 第 一 代 IDS 产品 遇 到 的 问题 ( 误 报 导致 合法 数据 被 阻塞 、 丢 弃 ; 自身 
原因 造成 的 拒绝 服务 攻击 泛滥 ; 应 用 级 防御 ) 有 个 圆满 的 解决 。 可 信任 防御 模型 中 采用 
的 机 制 有 信任 指数 ,拒绝 服务 攻击 和 应 用 级 攻击 。 

信任 指数 。IDS 为 每 个 告警 赋予 一 个 可 信 值 , 即 在 IDS 正确 评估 攻击 /威胁 后 对 是 否 
发 出 告警 的 自我 确信 和 度 。 如 对 于 已 知 的 SQL Slammer 攻击 ,IDS 在 分 析 数 据 流 中 的 数据 
报 类 型 和 大 小 后 ,以 高 确信 和 度 断 定数 据 流 包含 SQL Slammer 流量 。 因 为 这 种 攻击 使 用 
UDP ,数据 报 大 小 为 376 ,所 用 端口 为 1434。 有 了 这 样 的 数据 ,IDS 会 为 相应 的 告警 赋予 
高 信任 指数 。 

拒绝 服务 攻击 (DOS)。 攻 击 者 可 能 冒充 内 网 了 了 (如 邮件 服务 器 卫 ) 进 行 欺 骗 攻 击 , 传 
统 防御 系统 将 会 拒绝 所 有 来 自 邮件 服务 器 的 流量 ,导致 网 内 机 器 不 能 接受 外 部 发 来 的 邮 
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件 , 下 一 代 IDS 产品 能 够 识别 这 种 自发 的 DOS 情形 ,并 且 降 低 发 生 概率 。 

应 用 级 攻击 。 这 是 一 种 针对 被 保护 力度 低 的 应 用 程序 (如 即时 通信 工具 .VoIP 等 ) 发 
起 的 攻击 ,攻击 造成 的 后 果 非 常 严重 。 下 一 代 IDS 产品 提供 深度 覆盖 技术 来 保护 脆弱 的 
应 用 程序 免 遭 攻击 。 


7.5.4 网 络 入 侵 检测 技术 


网 络 入 侵 检测 的 技术 主要 有 异常 检测 模型 和 误 用 检测 模型 ,此 外 ,还 有 基于 生物 免疫 
系统 的 人 侵 检测 模型 和 基于 伪装 的 人 侵 检 测 模型 。 


1. 基本 检测 方法 


(1) 基于 用 户 特 征 的 检测 

基于 用 户 特 征 的 检测 方法 是 根据 用 户 通常 的 举动 来 识别 特定 的 用 户 ,用 户 的 活动 模 
式 根 据 在 一 段 时间 内 的 观察 后 建立 。 例 如 , 某 个 用 户 多 次 使 用 某 些 命令 ,在 特定 的 时 间 内 
以 一 定 的 频 度 访问 文件 .系统 登录 及 执行 相同 的 程序 等 。 可 以 按照 用 户 的 活动 情况 给 每 
个 合法 的 用 户 建立 特征 库 , 用 以 检测 和 判断 登录 用 户 的 合法 性 ,因为 非法 用 户 不 可 能 像 合 
法 用 户 一 样 进行 同样 的 操作 。 

(2) 基于 入 侵 者 的 特征 的 检测 

当 外 界 用 户 或 人 侵 者 试图 访问 某 个 计算 机 系统 时 ,会 进行 某 些 特殊 的 活动 或 使 用 特 
殊 方法 ,如 果 这 些 活动 能 够 予以 描述 并 作为 对 入 侵 者 的 描述 ,入 侵 活动 就 能 够 被 检测 到 。 
非法 入 侵 者 活动 的 一 个 典型 例子 是 , 当 其 获得 系统 的 访问 权时 ,通常 会 立即 查看 当前 有 哪 
些 用 户 在 线 , 并 且 会 反复 检查 文件 系统 和 浏览 目录 结构 ,还 会 打开 这 些 文件 。 另 外 ,非法 
入 侵 者 在 一 个 系统 上 不 会 停留 过 久 ,而 一 个 合法 的 用 户 一 般 是 不 会 这 样 做 的 。 

(3) 基于 活动 的 检测 

一 般 来 说 ,非法 入 侵 者 在 人 侵 系统 时 会 进行 某 些 已 知 的 且 具 有 共性 的 操作 ,比如 在 人 
侵 UNIX 时 入 侵 通 常 要 试图 获得 根 (Root) 权 限 , 所 以 ,用户 有 理由 认为 任何 企图 获得 根 
权限 的 活动 都 要 被 检测 。 


2. 异常 检测 模型 


1) 异常 检测 模型 的 基本 原理 

异常 检测 ,也 称 为 基于 行为 的 检测 。 其 基本 前 提 是 假定 所 有 的 入 侵 行为 都 是 异常 的 。 
其 基本 原理 是 ,首先 建立 系统 或 用 户 的 “正常 "行为 特征 轮廓 ,通过 比较 当前 的 系统 或 用 户 
行为 是 否 偏离 正常 的 行为 特征 轮廓 来 判断 是 否 发 生 了 入 侵 ,而 不 是 依赖 于 具体 行为 是 否 
出 现 来 进行 检测 的 。 从 这 个 意义 上 来 讲 ,异常 检测 是 一 种 间接 的 方法 。 

2) 异常 检测 的 关键 技术 

(1) 特征 量 的 选择 

异常 检测 首先 是 要 建立 系统 或 用 户 的 “正常 ”行为 特征 轮廓 ,这 就 要 求 在 建立 正常 模 
型 时 ,选取 的 特征 量 既 要 能 准确 地 体现 系统 或 用 户 的 行为 特征 ,又 能 使 模型 最 优化 , 即 以 
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最 少 的 特征 量 就 能 涵盖 系统 或 用 户 的 行为 特征 。 例 如 ,可 以 检测 磁盘 的 转速 是 否 正常 ， 
CPU 是 否 无 故 超频 等 异常 现象 。 

(2) 参考 阔 值 的 选 定 

因为 在 实际 的 网 络 环境 下 ,入 侵 行为 和 异常 行为 往往 不 是 一 对 一 的 等 价 关 系 , 经 常 发 
生 这 样 的 异常 情况 : 某 一 行为 是 异常 行为 ,而 它 并 不 是 入 侵 行为 ; 同样 存在 某 一 行为 是 入 侵 
行为 ,而 它 却 并 不 是 异常 行为 的 情况 。 这 样 就 会 导致 检测 结果 的 虚 警 (false positives) 和 
漏 警 (false negatives) 的 产生 。 由 于 异常 检测 是 先 建立 正常 的 特征 轮廓 作为 比较 的 参考 
基准 ,这 个 参考 基准 即 参考 阔 值 的 选 定 是 非常 关键 的 。 阔 值 定 得 过 大 , 则 漏 警 率 会 很 高 
阔 值 定 得 过 小 , 则 虚 警 率 就 会 提高 。 合 适 的 参考 阔 值 的 选 定 是 影响 这 一 检测 方法 准确 率 
的 至 关 重 要 的 因素 。 

从 异常 检测 的 原理 可 以 看 出 ,该 方法 的 技术 难点 在 于 “正常 "行为 特征 轮廓 的 确定 、 特 
征 量 的 选取 ,特征 轮廓 的 更 新 。 由 于 这 几 个 因素 的 制约 ,异常 检测 的 虚 警 率 很 高 ,但 对 于 
未 知 的 入 侵 行为 的 检测 非常 有 效 。 此 外 ,由 于 需要 实时 地 建立 和 更 新 系统 或 用 户 的 特征 
轮廓 ,这 样 所 需 的 计算 量 很 大 ,对 系统 的 处 理性 能 要 求 会 很 高 。 

3) 异常 检测 模型 的 实现 方法 

异常 检测 模型 常用 的 实现 方法 有 基于 统计 分 析 的 异常 检测 方法 、 基 于 特征 选择 的 异 
常 检测 方法 、 基 于 贝 叶 斯 推理 的 异常 检测 方法 、 基 于 贝 叶 斯 网 络 的 异常 检测 方法 、 基 于 模 
式 预 测 的 异常 检测 方法 、 基 于 神经 网 络 的 异常 检测 方法 、 基 于 贝 叶 斯 聚 类 的 异常 检测 方 
法 、 基 于 机 器 自学 习 系 统 的 异常 检测 方法 和 基于 数据 采掘 技术 的 异常 检测 方法 等 。 

(1) 基于 统计 分 析 的 异常 检测 方法 

基于 统计 分 析 的 异常 检测 方法 是 根据 异常 检测 器 观察 主体 的 活动 情况 , 随 之 产生 能 
刻画 这 些 活动 的 行为 框架 。 每 一 个 框架 能 保存 记录 主体 的 当前 行为 ,并 定时 地 将 当前 的 
框架 与 存储 的 框架 合并 ,通过 比较 当前 的 框架 与 事先 存储 的 框架 来 判断 异常 行为 ,从 而 检 
测 出 网 络 的 入侵 行为 。 

(2) 基于 特征 选择 的 异常 检测 方法 

基于 特征 选择 的 异常 检测 方法 是 通过 从 一 组 度量 中 挑选 能 检测 出 入 侵 的 度量 构成 子 
集 来 准确 地 预测 或 分 类 已 检测 到 的 入 侵 。 

(3) 基于 贝 叶 斯 推理 的 异常 检测 方法 

基于 贝 叶 斯 (Bayesian) 推 理 异 常 检测 方法 是 通过 在 任意 的 时 刻 , 测 量 Al ,A: ,…',A， 
变量 值 推理 判断 系统 是 否 有 和 人 侵 事 件 的 发 生 。 其 中 每 个 变量 表示 系统 不 同 的 方面 特征 
(如 磁盘 IO 的 活动 数量 ,或 者 系统 中 页 面 出 错 的 次 数 等 ) 。 

(4) 基于 贝 叶 斯 网 络 的 异常 检测 方法 

基于 贝 叶 斯 网 络 的 异常 检测 方法 是 通过 建立 起 异常 入侵 检测 的 贝 叶 斯 网 络 , 然 后 将 
其 用 作 分 析 异 常 测量 的 结果 。 

(5) 基于 模式 预测 的 异常 检测 方法 

基于 模式 预测 异常 检测 方法 是 假设 事件 序列 不 是 随机 的 而 是 能 遵循 可 辨别 的 模式 ， 
这 种 检测 方法 的 主要 特点 是 考虑 事件 的 序列 及 其 相互 联系 。 其 典型 模型 是 由 Teng 和 
Chen 提出 的 基于 时 间 的 推理 方法 ,利用 时 间 规 则 识别 用 户 行为 正常 模式 的 特征 。 通 过 归 
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纳 学 习 产 生 这 些 规则 集 , 并 能 动态 地 修改 系统 中 的 这 些 规则 ,使 之 具有 高 的 预测 性 ,准确 
性 和 可 信和 度 。 

(6) 基于 神经 网 络 的 异常 检测 方法 

基于 神经 网 络 的 入 侵 检测 方法 是 训练 神经 网 络 连 续 的 信息 单元 ,这 里 的 信息 单元 指 
的 是 一 条 命令 。 网 络 的 输入 层 是 用 户 当 前 输入 的 命令 和 已 执行 过 的 N 条 命令 ,神经 网 络 
就 是 利用 用 户 使 用 过 的 N 条 命令 来 预测 用 户 可 能 使 用 的 下 一 条 命令 。 当 神经 网 络 预测 
不 出 某 用 户 正 确 的 后 续 命 令 , 即 在 某 种 程度 上 表明 了 有 异常 事件 发 生 , 以 此 进行 异常 人 侵 
的 检测 。 

(7) 基于 贝 叶 斯 聚 类 的 异常 检测 方法 

基于 贝 叶 斯 聚 类 的 异常 检测 方法 是 通过 在 数据 中 发 现 不 同类 别 的 数据 集合 ,这 些 类 
反映 出 了 基本 的 因果 关系 ,以 此 就 可 以 区 分 异常 用 户 类 ,进而 推断 入 侵 事 件 发 生来 检测 异 
常人 侵 行为 。 

(8) 基于 机 器 自学 习 系 统 的 异常 检测 方法 

基于 机 器 自学 习 系统 的 异常 检测 方法 是 将 异常 检测 问题 归结 为 根据 离散 数学 临时 序 
列 学 习 获得 个 体 、 系 统 和 网 络 的 行为 特征 ,提出 一 个 基于 相似 度 的 学 习 方法 IBL。 该 方法 
通过 新 的 序列 相似 度 的 计算 ,将 原始 数据 转化 成 可 度量 的 空间 。 然 后 ,应 用 IBL 的 学 习 
技术 和 一 种 新 的 基于 序列 的 分 类 方法 ,从 而 发 现 异 常 类 型 事件 ,以 此 进行 人 侵 行 为 的 
检测 。 

(9) 基于 数据 采掘 技术 的 异常 检测 方法 

基于 数据 采掘 技术 的 异常 检测 方法 是 将 数据 采 气 技术 应 用 到 入 侵 检 测 研究 领域 中 ， 
从 审计 数据 或 数据 流 提取 感 兴趣 的 知识 、 规 则 、 规 律 和 模式 等 形式 ,并 用 这 些 知识 去 检测 
异常 人 侵 和 已 知 的 入侵 。 基 于 数据 采 握 技术 的 异常 人 侵 检 测 通常 使 用 的 是 数据 库 中 的 知 
识 提取 (knowledge discovery in databases,KDD) 算 法 ,该 算法 就 是 从 数据 库 中 自动 提取 
有 用 的 信息 (知识 )。 这 种 算法 的 优点 是 选用 于 处 理 大 量 的 数据 ,但 KDD 算法 只 能 对 事 
后 数据 进行 分 析 ,而 不 能 进行 实时 跟踪 处 理 。 


3. 误 用 检测 模型 


1) 误 用 检测 模型 的 基本 原理 

在 介绍 基于 误 用 的 人 侵 检测 的 概念 之 前 ,有 必要 对 误 用 的 概念 做 一 个 简单 的 介绍 。 
误 用 是 英文 misuse 的 中 文 直译 ,其 意思 是 “可 以 用 某 种 规则 方式 或 模型 表示 的 攻击 或 其 
他 安全 相关 行为 ”。 

根据 对 误 用 概念 的 这 种 理解 ,可 以 定义 基于 误 用 的 入 侵 检 测 技术 的 含义 ,“ 误 用 检测 
技术 主要 是 通过 某 种 方式 预先 定义 人 侵 行为 ,然后 监视 系统 的 运行 ,并 从 中 找 出 符合 预先 
定义 规则 的 入 侵 行为 ”。 

基于 误 用 的 人 侵 检测 系统 通过 使 用 某 种 模式 或 者 信号 标识 表示 攻击 ,进而 发 现 相 同 
的 攻击 。 这 种 方式 可 以 检测 许多 甚至 全 部 已 知 的 攻击 行为 ,但 是 对 于 未 知 的 攻击 手段 却 
无 能 为 力 ,这 一 点 和 病毒 检测 系统 类 似 。 

对 于 误 用 检测 系统 来 说 ,最 重要 的 技术 是 : 如 何 全 面 描述 攻击 的 特征 ,覆盖 在 此 基础 
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上 的 变种 方式 ; 如 何 排除 其 他 带 有 干扰 性 质 的 行为 ,减少 误 报 率 。 

误 用 检测 ,也 称 为 基于 知识 的 检测 。 其 基本 前 提 是 假定 所 有 可 能 的 入 侵 行为 都 能 被 
识别 和 表示 。 其 原理 是 : 首先 对 已 知 的 攻击 方法 进行 攻击 签名 (攻击 签名 是 指 用 一 种 特 
定 的 方式 来 表示 已 知 的 攻击 模式 ) 表 示 ,然后 根据 已 经 定义 好 的 攻击 签名 ,通过 判断 这 些 
攻击 签名 是 否 出 现 来 判断 入 侵 行 为 的 发 生 与 否 。 这 种 方法 是 直接 判断 攻击 签名 的 出 现 与 
否 来 判断 入 侵 的 。 从 这 一 点 来 看 , 它 是 一 种 直接 的 方法 。 

误 用 检测 技术 的 关键 问题 是 攻击 签名 的 正确 表示 。 误 用 检测 是 根据 攻击 签名 来 判断 
入 侵 的 ,如 何 用 特定 的 模式 语言 来 表示 这 种 攻击 行为 ,是 该 方法 的 关键 所 在 。 尤 其 是 攻击 
签名 必须 能 够 准确 地 表示 入 侵 行为 及 其 所 有 可 能 的 变种 ,同时 又 不 会 把 非 人 侵 行 为 包含 
进来 。 由 于 大 部 分 的 入 侵 行为 是 利用 系统 的 漏洞 和 应 用 程序 的 缺陷 进行 攻击 的 ,那么 通 
过 分 析 攻 击 过 程 的 特征 、 条 件 、 排 列 以 及 事件 间 的 关系 ,就 可 具体 描述 入 侵 行为 的 迹象 。 
这 些 迹 象 不 仅 对 分 析 已 经 发 生 的 入 侵 行 为 有 帮助 ,而 且 对 即将 发 生 的 人 侵 也 有 预警 作用 ， 
因为 只 要 部 分 满足 这 些 人 侵 迹象 就 意味 着 有 和 人 侵 行 为 发 生 的 可 能 。 

误 用 检测 是 通过 将 收集 到 的 信息 与 已 知 的 攻击 签名 模式 库 进行 比较 ,从 而 发 现 违背 
安全 策略 的 行为 。 该 方法 类 似 于 病毒 检测 系统 ,其 检测 的 准确 率 和 效率 都 比较 高 。 此 外 ， 
这 种 技术 比较 成 熟 ,国际 上 一 些 顶 尖 的 入 侵 检测 系统 都 采用 该 方法 。 但 是 该 方法 也 存在 
一 些 缺 点 : 

一 是 不 能 检测 未 知 的 入 侵 行 为 。 由 于 其 检测 机 理 是 对 已 知 的 入 侵 方 法 进行 模式 提 
取 , 对 于 未 知 的 入 侵 方法 由 于 缺乏 认识 而 不 能 进行 有 效 的 检测 ,也 即 漏 警 率 比 较 高 。 

二 是 与 系统 的 相关 性 很 强 。 由 于 不 同 的 操作 系统 的 实现 机 制 不 同 , 对 其 攻击 的 方法 
也 不 尽 相同 ,很 难 定义 出 统一 的 模式 库 。 

另外 由 于 已 知 认识 的 局 限 性 ,难以 检测 出 内 部 人 员 的 蓄意 破坏 和 攻击 行为 ,如 合法 用 
户 的 汇 露 。 

2) 误 用 入 侵 检 测 模型 的 基本 方法 

误 用 检测 模型 常用 的 检测 方法 有 基于 条 件 概率 的 误 用 入 侵 检测 方法 、 基 于 专家 系统 
的 误 用 入 侵 检测 方法 、 基 于 状态 迁移 分 析 的 误 用 入 侵 检测 方法 、 基 于 键盘 监控 的 误 用 入 侵 
检测 方法 和 基于 模型 的 误 用 入 侵 检测 方法 等 。 

(1) 基于 条 件 概率 的 误 用 入 侵 检测 方法 

基于 条 件 概率 的 误 用 入 侵 检测 方法 是 将 入 侵 的 方式 对 应 于 一 个 事件 序列 ,并 通过 对 
事件 发 生 的 情形 的 分 析 和 观察 来 推测 人 侵 的 一 种 方法 。 这 种 方法 的 依据 是 根据 贝 叶 斯 定 
理 (Bayesian principles) 进 行 推理 检测 入 侵 行为 。 

(2) 基于 专家 系统 的 误 用 入 侵 检测 方法 

基于 专家 系统 的 误 用 入 侵 检 测 模型 是 通过 将 安全 专家 的 经 验 知识 表示 成 if-then 规 
则 而 形成 的 专家 知识 库 ,然后 ,运用 推理 算法 进行 入侵 行为 的 检测 。 

基于 专家 系统 的 误 用 入 侵 检测 系统 的 典型 模型 是 CLIPS 模型 。 在 该 模型 中 ,将 入 侵 
知识 进行 编码 表示 成 if-then 规则 ,并 根据 相应 的 审计 跟踪 事件 的 断言 事实 。 编 码 规则 说 
明 攻 击 的 必需 条 件 作为 if 的 组 成 部 分 。 当 规则 的 左边 的 条 件 全 都 满足 时 ,规则 右边 的 动 
作 才 会 执行 。 
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在 基于 专家 系统 的 入 侵 检测 模型 中 ,要 处 理 大 量 的 数据 和 依赖 于 审计 跟踪 的 次 序 。 
其 推理 方法 有 两 种 : 根据 给 定 的 数据 ,应 用 符号 推理 出 入 侵 行为 的 发 生 ; 根据 其 他 的 入 
侵 证 据 , 进 行 不 确定 性 的 推理 。 

(3) 基于 状态 迁移 分 析 的 误 用 入 侵 检测 方法 

状态 迁移 分 析 方法 是 将 攻击 表示 成 一 系列 被 监控 的 系统 状态 迁移 。 攻 击 模式 的 状态 
对 应 于 系统 的 状态 ,并且 具有 迁移 到 另外 状态 的 特性 ,然后 通过 弧 线 连续 的 状态 连接 起 来 
表示 状态 改变 所 需要 的 事件 。 

(4) 基于 键盘 监控 的 误 用 入 侵 检测 方法 

基于 键盘 监控 系统 的 误 用 入 侵 检测 方法 是 假设 入 侵 者 对 应 的 击 键 序列 模式 ,然后 监 
测 用 户 击 键 模式 ,并 将 这 一 击 健 模式 与 人 侵 检 测 模式 相 匹 配 ,以 检测 入 侵 行 为 。 

(5) 基于 模型 的 误 用 入 侵 检 测 方法 

基于 模型 的 误 用 入 侵 检测 方法 是 通过 建立 误 用 证 据 模 型 ,根据 证 据 推理 来 做 出 误 用 
发 生 判 断 结论 。 


4. 异常 检测 模型 和 误 用 检测 模型 的 比较 


异常 检测 系统 试图 发 现 一 些 未 知 的 入侵 行为 ,而 误 用 检测 系统 则 是 检测 一 些 已 知 的 
人 侵 行 为 。 

异常 检测 指 根据 使 用 者 的 行为 或 资源 使 用 状况 来 判断 是 否 有 入 侵 行为 的 发 生 ,而 不 
依赖 于 具体 行为 是 否 发 现 来 检测 ; 而 误 用 检测 系统 则 大 多 是 通过 对 一 些 具体 行为 的 判断 
和 推理 ,从 而 检测 出 人 侵 行为 。 

异常 检测 的 主要 缺陷 在 于 误 检 率 很 高 ,尤其 在 用 户 数目 众多 或 操作 行为 经 常 改变 的 
环境 中 ; 而 误 用 检测 系统 由 于 依据 具体 特征 库 进 行 判 断 , 准 确 度 要 高 很 多 。 

异常 检测 对 具体 系统 的 依赖 性 相对 较 小 ; 而 误 用 检测 系统 对 具体 的 系统 依赖 性 很 
强 , 移 植 性 不 好 。 


7.6 计算 机 网 络 安全 方案 分 析 


随 着 各 种 组 织 部 门 企业 组 建 自己 的 网 络 ,并 接 和 人 Internet 网 络 ,为 了 保护 各 自 的 机 密 
和 利益 ,网 络 安全 越 来 越 受到 重视 。 不 同 规模 企业 和 组 织 的 计算 机 网 络 安全 要 求 也 不 尽 
相同 ,因此 各 自 的 计算 机 网 络 安全 解决 方案 也 不 同 。 我 们 在 这 里 针对 中 型 企业 和 部 门 组 
织 的 情况 ,对 其 计算 机 网 络 安全 进行 论述 。 


7.6.1 计算 机 网 络 安全 需求 概述 


1. 计算 机 网 络 安全 分 析 


网 络 系统 的 可 靠 运转 是 基于 通信 子 网 .计算 机 硬件 和 操作 系统 及 各 种 应 用 软件 等 各 
方面 、 各 层次 的 良好 运行 。 因 此 , 它 的 风险 将 来 自 对 企业 的 各 个 关键 点 可 能 造成 的 威胁 ， 
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这 些 威胁 可 能 造成 总 体 功能 的 失效 。 一 般 中 型 企业 组 织 网 络 的 规模 都 比较 大 ,结构 复杂 ， 
网 络 上 运行 着 各 种 各 样 的 主机 和 应 用 程序 ,使 用 了 多 种 网 络 设备 。 同 时 ,由 于 多 种 业务 的 
需要 ,又 和 许多 其 他 网 络 进行 连接 。 因 此 ,对 这 种 应 用 规模 的 计算 机 网 络 安全 应 该 从 以 下 
几 个 层面 进行 考虑 : 

第 一 层 , 外 部 网 络 连接 及 数据 访问 ,其 中 包括 出 差 在 外 的 移动 用 户 的 连接 ,托管 服务 
器 网 站 对 外 提供 的 公共 服务 、 公 自动 化 网 使 用 ADSL 与 Internet 连接 。 

第 二 层 ,内 部 网 络 连接 ,其 中 包括 通过 DDN 专线 等 方式 连接 的 托管 服务 器 网 站 与 办 
公 自 动 化 网 络 。 

第 三 层 ,同一 网 段 中 不 同 部 门 间 的 连接 。 这 里 主要 是 指 同一 网 段 中 , 即 连接 在 同一 个 
HUB 或 交换 机 上 的 不 同 部 门 的 主机 和 工作 站 的 安全 问题 。 


2. 来 自 外 部 网 络 与 内 部 网 络 的 安全 威胁 分 析 


根据 网 络 安全 层次 的 划分 ,可 以 发 现 外 部 网 络 攻击 威胁 主要 来 自 第 一 层 , 内 部 网 络 的 
安全 问题 集中 在 第 二 ,三 层 上 。 

1) 来 自 外 部 网 络 的 安全 威胁 

由 于 业务 的 需要 ,企业 的 网 络 必须 与 外 部 网 络 进行 连接 ,这 些 连 接 如 果 处 理 不 好 必然 
给 计算 机 网 络 安全 带 来 威胁 。 例 如 ,内 部 网 络 和 这 些 外 部 网 络 之 间 的 连接 为 直接 连接 ， 
外 部 网 络 可 以 直接 访问 内 部 网 络 的 主机 ; 内 部 和 外 部 没有 隔离 措施 等 。 

一 般 出 差 在 外 的 移动 用 户 常 需要 通过 Internet 连接 企业 内 部 网 络 。 当 该 移动 用 户 使 
用 当地 ISP 拨号 等 直接 连接 方式 进入 内 部 网 络 ,这 时 非法 的 Internet 用 户 也 可 以 通过 各 
种 手段 访问 内 部 网 络 , 对 企业 网 络 进行 攻击 ,如 释放 病毒 .释放 ”特洛伊 木马 ”窃取 信 

另外 ,由 于 公司 宣传 的 需要 ,企业 的 服务 器 网 站 必须 对 外 开放 ,提供 公共 服务 。 这 也 
给 外 来 攻击 提供 了 渠道 。 因 此 必须 借助 防火 墙 \ 人 侵 检测 系统 、 防 病毒 系统 等 综合 防范 手 
段 才能 有 效 抵御 外 来 的 攻击 。 

2) 来 自 内 部 网 络 的 安全 威胁 

中 型 部 分 组 织 的 计算 机 网 络 一 般 都 是 分 为 多 个 层次 ,网 络 上 节点 众多 ,网 络 应 用 复 
杂 , 网 络 管理 困难 。 具 体 表现 在 网 络 的 实际 结构 无 法 控制 ; 网 管 人 员 无 法 及 时 了 解 网 络 
的 运行 状况 ; 无 法 了 解 网 络 的 漏洞 和 可 能 发 生 的 攻击 ; 对 于 已 经 或 正在 发 生 的 攻击 缺乏 
有 效 的 追查 手段 等 。 内 部 网 络 的 安全 涉及 到 技术 、 应 用 以 及 管理 等 多 方面 的 因素 ,只 有 及 
时 发 现 问 题 , 确 定 计算 机 网 络 安 全 威胁 的 来 源 , 才 能 制定 全 面 的 安全 策略 ,有 效 保证 计算 
机 网 络 安全 。 

(1) 网 络 的 实际 结构 无 法 控制 

计算 机 网 络 上 的 用 户 众多 ,用 户 的 应 用 水 平 差异 较 大 ,给 管理 带 来 很 多 困难 。 网 络 的 
物理 连接 经 常会 发 生变 化 ,这 种 变化 主要 由 以 下 原因 造成 : 办 公 地 点 调整 ,如 迁 址 、 装 修 
等 ; 网 络 应 用 人 员 的 调整 ,如 员工 的 加 入 或 调 离 ; 网 络 设备 的 调整 ,如 设备 升级 更 新 ; 人 
为 错误 ,如 网 络 施工 中 的 失误 。 这 些 因素 都 会 导致 网 络 结构 发 生变 化 ,网 络 管理 者 如 果 不 
能 及 时 发 现 ,将 其 纳入 计算 机 网 络 安全 的 总 体 策略 ,很 可 能 发 生 网 络 配置 不 当 , 从 而 造成 
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网 络 性 能 的 下 降 , 更 严重 的 是 会 造成 计算 机 网 络 安全 的 严重 隐患 ,导致 直接 经 济 损失 。 针 
对 这 种 情况 ,可 以 使 用 一 种 有 效 的 扫描 工具 ,定期 对 网 络 进行 扫描 ,发 现 网 络 结构 的 变化 ， 
及 时 纠正 错误 ,调整 计算 机 网 络 安全 策略 。 

(2) 网 管 人 员 无 法 及 时 了 解 网 络 的 运行 状况 

网 络 是 一 个 多 应 用 的 平台 ,上 面 运行 着 多 种 应 用 ,其 中 包括 网 站 系统 .办 公 自 动 化 系 
统 . 邮 件 系 统 等 。 作 为 网 络 管理 员 ,应 该 能 够 全 面 了 解 这 些 应 用 的 运行 情况 。 同 时 ,由 于 
网 络 用 户 众多 ,很 可 能 发 生 用 户 运行 其 他 应 用 程序 的 情况 ,这 样 做 的 后 果 一 方面 可 能 影响 
网 络 的 正常 工作 ,降低 系统 的 工作 效率 , 另 一 方面 还 可 能 破坏 系统 的 总 体 安全 策略 ,对 计 
算 机 网 络 安全 造成 威胁 。 因 此 ,网 络 管理 员 应 拥有 有 效 的 工具 ,及 时 发 现 错 误 ,关闭 非法 
应 用 ,保证 网 络 的 安全 。 

(3) 无 法 了 解 网 络 的 漏洞 和 可 能 发 生 的 攻击 

网 络 建成 后 ,应 该 制定 完善 的 计算 机 网 络 安全 和 网 络 管理 策略 ,但 是 实际 情况 是 ,再 
有 经 验 的 网 络 管理 者 也 不 可 能 完全 依靠 自身 的 能 力 建立 十 分 完善 的 安全 系统 。 具 体 原因 
表现 为 : 即使 最 初 制定 的 安全 策略 已 经 十 分 可 靠 , 但 是 随 着 网 络 结构 和 应 用 的 不 断 变 化 ， 
安全 策略 也 应 该 及 时 进行 相应 的 调整 ; 黑客 工具 可 以 轻易 得 到 ,依靠 网 络 管理 人 员 的 个 
人 力量 无 法 与 巨大 的 黑客 群体 抗衡 ; 传统 方式 的 安全 策略 采取 被 动 挨打 的 方式 ,等 待人 
侵 者 的 攻击 ,而 缺乏 主动 防范 的 功能 ; 由 于 网 络 配置 不 当 导致 的 安全 隐患 ; 来 自 内 部 网 
的 病毒 的 破坏 ; 内 部 网 络 各 网 段 上 运行 不 同 应 用 ,而 这 些 应 用 又 要 共享 某 些 数据 ,这 些 放 
有 共享 数据 的 主机 没有 有 效 的 保护 措施 ,容易 受到 攻击 。 这 时 ,管理 者 就 需要 一 种 强 有 力 
的 工具 来 对 网 络 风险 进行 客观 的 评估 ,及 时 发 现 网 络 中 的 安全 隐患 ,并 提出 切实 可 行 的 防 
范 措施 。 

(4) 对 于 已 经 或 正在 发 生 的 攻击 缺乏 有 效 的 追查 手段 

网 络 的 安全 策略 一 旦 建立 ,会 对 整个 网 络 起 到 全 面 的 保护 作用 ,但 是 我 们 都 清楚 : 没 
有 绝对 安全 的 网 络 ,少数 攻击 行为 会 穿 过 防火 墙 最 终 发 生 。 攻 击 行为 一 旦 发 生 , 最 重要 的 
问题 在 于 怎样 减 小 损失 和 追查 当事人 的 责任 。 

首先 ,一 旦 发 现 有 攻击 行为 ,系统 应 该 能 够 及 时 报警 ,自动 采取 相应 的 对 策 ,如 关闭 有 
关 服 务 ,切断 物理 线路 的 连接 等 。 

有 些 攻击 行为 相当 隐蔽 ,攻击 发 生 之 后 很 长 时 间 才 会 被 发 现 。 这 种 情况 下 ,就 需要 网 
络 管理 者 通过 有 关 线 索 ,追踪 攻击 行为 的 发 起 者 ,追究 当事人 的 责任 。 但 是 ,由 于 多 种 原 
因 , 类 似 的 追查 工作 往往 难以 进行 ,其 中 包括 对 于 某 些 欺骗 行为 不 能 够 识别 ; 对 于 日 志 
件 记 录 的 内 容 无 法 进行 有 效 的 分 析 ; 缺乏 对 攻击 现场 回放 工具 ; 缺乏 防御 同样 攻击 的 解 
决 办 法 。 由 此 可 见 , 为 了 能 够 追查 攻击 的 来 源 , 系 统 应 该 具备 有 效 的 工具 ,记录 攻击 行为 
的 全 过 程 ,为 调查 工作 提供 依据 ,同时 也 是 对 非法 入 侵 者 的 有 效 震 慑 。 

此 外 ,由 于 企业 人 手 有 限 、 节 约 成 本 或 者 人 员 管 理 的 失误 ,使 得 某 些 工作 人 员 经 常 一 
身 数 职 ,也 有 时 因为 临时 需要 而 为 部 分 管理 员 赋予 了 额外 的 管理 权限 , 却 在 事后 没有 收 
回 。 这 些 都 违反 了 安全 系统 原则 ,从 而 对 系统 安全 构成 严重 威胁 。 因 此 ,我 们 应 该 从 技术 
和 管理 等 多 种 渠道 加 强 管理 和 监控 ,杜绝 这 个 层面 上 的 安全 问题 。 
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7.6.2 计算 机 网 络 安全 系统 的 总 体 规划 


1. 安全 体系 结构 


计算 机 网 络 安全 体系 结构 主要 考虑 安全 对 象 和 安全 机 制 ,安全 对 象 主要 有 网 络 安全 、 
系统 安全 数据库 安 全 、 信 息 安 全 .设备 安全 、 信 息 介质 安全 和 计算 机 病毒 防治 等 ,其 安全 
体系 结构 如 图 7. 1 所 示 。 


企业 安全 策略 


用 户 责任 
保密 
计算 机 网 络 安 全 “教育 
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图 7.1 计算 机 网 络 安全 体系 结构 


2. 安全 体系 设计 原则 


在 进行 计算 机 网 络 安全 设计 、 规 划 时 ,应 遵循 以 下 原则 。 

(1) 需求 , 风险、 代价 平衡 分 析 的 原则 

对 任 一 网 络 来 说 ,绝对 安全 难以 达到 ,也 不 一 定 必 要 。 对 一 个 网 络 要 进行 实际 分 析 ， 
对 网 络 面临 的 威胁 及 可 能 承担 的 风险 进行 定性 与 定量 相 结合 的 分 析 , 然 后 制定 规范 和 措 
施 ,确定 本 系统 的 安全 策略 。 保 护 成 本 、 被 保护 信息 的 价值 必须 平衡 ,价值 仅 1 万 元 的 信 
息 如 果 用 5 万 元 的 技术 和 设备 去 保护 是 一 种 不 适当 的 保护 。 

(2) 综合 性 ,整体 性 原则 

运用 系统 工程 的 观点 方法 ,分 析 网 络 的 安全 问题 ,并 制定 具体 措施 。 一 个 较 好 的 安 
全 措施 往往 是 多 种 方法 适当 综合 的 应 用 结果 。 一 个 计算 机 网 络 包 括 个 人 、 设 备 、 软 件 、 数 


看 待 和 分 析 , 才 可 能 获得 有 效 、 可 行 的 措施 。 

(3) 一 致 性 原则 

一 致 性 原则 这 主要 是 指 计算 机 网 络 安全 问题 应 与 整个 网 络 的 工作 周期 (或 生命 周期 
同时 存在 ,制定 的 安全 体系 结构 必须 与 网 络 的 安全 需求 相 一 致 。 实 际 上 ,在 网 络 建设 之 初 
就 考虑 计算 机 网 络 安全 对 策 , 比 等 网 络 建设 好 后 再 考虑 ,不 但 容易 ,而 且 花 费 也 少 得 多 。 

(4) 易 操 作 性 原则 

安全 措施 要 由 人 来 完成 ,如 果 措 施 过 于 复杂 .对 人 的 要 求 过 高 ,本 身 就 降低 了 安全 性 。 
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其 次 ,采用 的 措施 不 能 影响 系统 正常 运行 。 
(5) 适应 性 、 灵 活性 原则 
安全 措施 必须 能 随 着 网 络 性 能 及 安全 需求 的 变化 而 变化 ,要 容易 适应 、 容 易 修改 。 
(6) 多 重 保 护 原则 
任何 安全 保护 措施 都 不 是 绝对 安全 的 ,都 可 能 被 攻破 。 但 是 建立 一 个 多 重 保护 系统 ， 
各 层 保护 相互 补充 , 当 一 层 保护 被 攻破 时 ,其 他 层 保 护 仍 可 保护 信息 的 安全 。 


3. 计算 机 网 络 安全 策略 


安全 策略 分 安全 管理 策略 和 安全 技术 实施 策略 两 个 方面 。 

(1) 管理 策略 

安全 系统 需要 人 来 执行 ,即使 是 最 好 的 、 最 值得 信赖 的 系统 安全 措施 ,也 不 能 完全 由 
计算 机 系统 来 完全 承担 安全 保证 任务 ,因此 必须 建立 完备 的 安全 组 织 和 管理 制度 。 

(2) 技术 策略 

技术 策略 要 针对 网 络 、 操 作 系 统 、 数 据 库 \、 信 息 共 享 授权 提出 具体 的 措施 。 


4. 安全 管理 原则 


计算 机 网 络 信息 系统 的 安全 管理 主要 基于 三 个 原则 。 

(1) 多 人 负责 原则 

每 项 与 安全 有 关 的 活动 都 必须 有 两 人 或 多 人 在 场 。 这 些 人 应 是 系统 主管 领导 指派 
的 ,应 忠诚 可 靠 ,能 胜任 此 项 工作 。 

(2) 任期 有 限 原 则 

一 般 来 讲 , 任 何人 最 好 不 要 长 期 担任 与 安全 有 关 的 职务 ,以免 误 认为 这 个 职务 是 专 有 
的 或 永久 性 的 。 

(3) 职责 分 离 原则 

除非 系统 主管 领导 批准 ,在 信息 处 理 系统 工作 的 人 员 不 要 打听 了 解 或 参与 职责 以 外 
与 安全 有 关 的 任何 事情 。 


5. 安全 管理 的 实现 


信息 系统 的 安全 管理 部 门 应 根据 管理 原则 和 该 系统 处 理 数 据 的 保密 性 ,制定 相应 的 
管理 制度 或 采用 相应 规范 ,其 具体 工作 是 : 确定 该 系统 的 安全 等 级 ; 根据 安全 等 级 确定 
安全 管理 的 范围 ; 制定 相应 的 机 房 出 入 管理 制度 ,对 安全 等 级 要 求 较 高 的 系统 ,要 实行 分 
区 控制 ,限制 工作 人 员 出 入 与 己 无 关 的 区 域 ; 制定 严格 的 操作 规程 ,操作 规程 要 根据 职责 
分 离 和 多 人 负责 的 原则 ,各 负 其 责 , 不 能 超越 自己 的 管辖 范围 ; 制定 完备 的 系统 维护 制 
度 , 维 护 时 ,要 首先 经 主管 部 门 批准 ,并 有 安全 管理 人 员 在 场 , 故 障 原因 、 维 护 内 容 和 维护 
前 后 的 情况 要 详细 记录 ; 制定 应 急 措施 ,要 制订 在 紧急 情况 下 ,系统 如 何 尽快 恢复 的 应 急 
措施 ,使 损失 减 至 最 小 ; 建立 人 员 雇 用 和 解聘 制度 ,对 工作 调动 和 离职 人 员 要 及 时 调整 相 
应 的 授权 。 

安全 系统 需要 由 人 来 计划 和 管理 ,任何 系统 安全 设施 也 不 能 完全 由 计算 机 系统 独立 
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承担 系统 安全 保障 的 任务 。 一 方面 ,各 级 领导 一 定 要 高 度 重视 并 积极 支持 有 关系 统 安全 
方面 的 各 项 措施 。 其 次 ,对 各 级 用 户 的 培训 也 十 分 重要 ,只 有 当 用 户 对 计算 机 网 络 安全 性 
有 了 深入 了 解 后 ,才能 降低 网 络 信息 系统 的 安全 风险 。 

总 之 ,制定 系统 安全 策略 .安装 计算 机 网 络 安全 系统 只 是 网 络 系统 安全 性 实施 的 第 一 
步 ,只 有 当 各 级 组 织 机 构 均 严格 执行 计算 机 网 络 安全 的 各 项 规定 ,认真 维护 各 自负 责 的 分 
系统 的 网 络 安全 性 ,才能 保证 整个 系统 网 络 的 整体 安全 性 。 


6. 网 络 安全 设计 


由 于 网 络 的 互联 是 在 链 路 层 、 网 络 层 、 传 输 层 ,应 用 层 不 同 协议 层 来 实现 ,各 个 层 的 功 
能 特性 和 安全 特性 也 不 同 ,因而 其 网 络 安全 措施 也 不 相同 。 
物理 层 安全 涉及 传输 介质 的 安全 特性 , 抗 干扰 、 防 窃听 将 是 物理 层 安 全 措施 制定 的 
在 链 路 层 ,通过 “ 桥 ? 这 一 互联 设备 的 监视 和 控制 作用 ,使 我 们 可 以 建立 一 定 程度 的 虚 
拟 局 域 网 ,对 物理 和 逻辑 网 段 进 行 有 效 的 分 割 和 隔离 ,消除 不 同安 全 级 别 罗 辑 网 段 间 的 窃 
听 可 能 。 

在 网 络 层 ,可 通过 对 不 同 子 网 的 定义 和 对 路 由 器 的 路 由 表 控制 来 限制 子 网 间 的 节点 
通信 ,通过 对 主机 路 由 表 的 控制 来 控制 与 之 直接 通信 的 节点 。 同 时 ,利用 网 关 的 安全 控制 
能 力 , 可 以 限制 节点 的 通信 、 应 用 服务 ,并 加 强 外 部 用 户 识别 和 验证 能 力 。 对 网 络 进行 级 
别 划 分 与 控制 ,网 络 级 别 的 划分 大 致 包括 Internet/ 企 业 网 .骨干 网 /区 域 网 区域 网 /部 门 
网 .部门 网 /工作 组 网 等 ,其 中 Internet/ 企 业 网 的 接口 要 采用 专用 防火 墙 ,骨干 网 /区 域 
网 .区 域 网 /部 门 网 的 接口 利用 路 由 器 的 可 控 路 由 表 , 安 全 邮件 服务 器 、 安 全 拨号 验证 服务 
器 和 安全 级 别 较 高 的 操作 系统 。 增 强 网 络 互 连 的 分 割 和 过 滤 控 制 , 也 可 以 大 大 提高 安全 
保密 性 。 

随 着 企业 个 人 与 个 人 之 间 、 各 部 门 之 间 , 企 业 和 企业 之 间 、 国 际 间 信 息 交流 的 日 益 频 
繁 ,信息 传输 的 安全 性 成 为 一 个 重要 的 问题 。 尽 管 个 人 、 部 门 和 整个 企业 都 已 认识 到 信息 
的 宝贵 价值 和 私有 性 ,但 商场 上 的 无 情 竞 争 已 迫使 机 构 打 破 原 有 的 界限 ,在 企业 内 部 或 企 
业 之 间 共 享 更 多 的 信息 ,只 有 这 样 才能 缩短 处 理 问题 的 时 间 , 并 在 相互 协作 的 环境 中 孕育 
出 更 多 的 革新 和 创造 。 然 而 ,在 群 件 系统 中 共享 的 信息 却 必须 保证 其 安全 性 ,以 防止 有 意 
无 意 的 破坏 。 

物理 实体 的 安全 管理 现 已 有 大 量 标准 和 规范 ,如 《计算 机 场地 安全 要 求 )(GB 9361 一 
1988) 和 《计算 机 场地 技术 条 件 》(GFB 2887 一 1988) 等 。 


邮 


7. 安全 产品 选 型 原则 


现在 市 场 上 的 网 络 安全 产品 非常 多 ,在 进行 网 络 安全 方案 的 产品 选 型 时 ,首先 根据 实 
际 网 络 规模 的 大 小 、 安 全 要 求 的 高 低 等 因素 来 选择 。 但 是 ,无 论 怎样 选择 安全 产品 ,至 少 
应 包含 以 下 功能 : 

(1) 访问 控制 ,通过 对 特定 网 段 、 服 务 建立 的 访问 控制 体系 ,将 绝 大 多 数 攻 击 阻 止 在 
到 达 攻 击 目标 之 前 。 
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(2) 检查 安全 漏洞 ,通过 对 安全 漏洞 的 周期 检查 ,即使 攻击 可 到 达 攻 击 目标 ,也 可 使 
绝 大 多 数 攻 击 无 效 。 

(3) 攻击 监控 ,通过 对 特定 网 段 、 服 务 建立 的 攻击 监控 体系 ,可 实时 检测 出 绝 大 多 数 
攻击 ,并 采取 相应 的 行动 (如 断 开 网 络 连 接 、 记 录 攻 击 过 程 、 跟 踪 攻 击 源 等 )。 

(4) 加 密 通 信 , 主 动 的 加 密 通 信 , 可 使 攻击 者 不 能 了 解 ,修改 敏感 信息 。 

(5) 认证 ,良好 的 认证 体系 可 防止 攻击 者 假冒 合法 用 户 。 

(6) 备份 和 恢复 ,良好 的 备份 和 恢复 机 制 , 可 在 攻击 造成 损失 时 ,尽快 恢复 数据 和 系 
统 服 务 。 

(7) 多 层 防 御 , 攻 击 者 在 突破 第 一 道 防线 后 ,延缓 或 阻 断 其 到 达 攻 击 目 标 。 

(8) 隐藏 内 部 信息 ,使 攻击 者 不 能 了 解 系统 内 的 基本 情况 。 

(9) 设立 安全 监控 中 心 ,为 信息 系统 提供 安全 体系 管理 ,监控 ,保护 及 紧急 情况 服务 。 


习题 


. 什么 是 计算 机 网 络 安全 ? 

.对 计算 机 网 络 安全 产生 的 威胁 主要 来 自 哪 些 方面 ? 
. 计算 机 网 络 安 全 有 哪些 特点 ? 

. 计算 机 网 络 信 息 系 统 的 安全 管理 主要 原则 是 什么 ? 
. 举例 说 明 几 种 主要 的 网 络 安全 技术 。 

.防火墙 的 概念 是 什么 ? 简 述 防火 墙 的 发 展 过 程 。 
. 防火墙 的 主要 功能 有 哪些 ? 
.防火 墙 存在 哪些 局 限 性 ? 

. 构成 防火 墙 的 体系 结构 主要 有 几 种 ,分 别 是 什么 ? 
. 简 述 包 过 滤 技 术 的 工作 原理 ,及 其 优 缺点 。 

. 简 述 代理 服务 技术 的 工作 原理 及 其 特点 。 

12. 简 述 防火 墙 的 选择 原则 。 

13. 什么 是 入侵 检测 ? 它 的 作用 是 什么 ? 

14. 人 侵 检测 系统 主要 分 为 哪 几 类 ? 

15. 入 侵 检测 技术 主要 的 发 展 方向 是 什么 ? 

16. 异常 检测 与 误 用 检测 的 区 别 是 什么 ? 

17. 简 述 安全 体系 设计 的 基本 原则 。 


Co 和 NRLD- 
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网 络 操作 系统 安全 


8.1 网 络 操 作 系 统 概 念 


计算 机 网 络 是 由 多 个 相互 独立 的 计算 机 系统 通过 通信 媒体 连接 起 来 的 。 各 计算 机 都 
具有 一 个 完整 独立 的 操作 系统 ,网 络 操 作 系 统 (network operation system) 是 建立 在 这 些 
独立 的 操作 系统 基础 上 用 以 扩充 网 络 功能 的 系统 (系统 平台 ) 。 

网 络 操作 系统 是 为 网 络 用 户 能 方便 有 效 地 共享 网 络 资源 而 提供 各 种 服务 的 软件 及 相 
关 规 程 , 它 是 整个 网 络 的 核心 ,通过 对 网 络 资源 的 管理 ,使 网 上 用 户 能 方便 ,快捷 .有 效 地 
共享 网 络 资源 。 网 络 操作 系统 除了 具有 一 般 操作 系统 所 具有 的 处 理 机 管理 .存储 器 管理 、 
设备 管理 和 文件 管理 功能 外 ,一 般 还 具有 如 下 功能 。 

(1) 支持 多 任务 

要 求 操作 系统 在 同一 时 间 能 够 处 理 多 个 应 用 程序 ,每 个 应 用 程序 在 不 同 的 内 存 空间 
运行 。 

(2) 支持 大 内 存 

要 求 操作 系统 支持 较 大 的 物理 内 存 , 以 便 应 用 程序 能 够 更 好 地 运行 。 

(3) 支持 对 称 多 处 理 

要 求 操 作 系 统 支持 多 个 CPU 减少 事务 处 理 时 间 ,提高 操作 系统 性 能 。 

(4) 支持 网 络 负载 平衡 

要 求 操作 系统 能 够 与 其 他 计算 机 构成 一 个 虚拟 系统 ,满足 多 用 户 访问 时 的 需要 。 

(5) 支持 远程 管理 

要 求 操 作 系 统 能 够 支持 用 户 通 过 Internet 远程 管理 和 维护 ,比如 Windows Server 
2003 操作 系统 支持 的 终端 服务 。 

目前 应 用 较为 广泛 的 网 络 操作 系统 有 : Microsoft 公司 的 Windows Server 系列 、 
Novell 公司 的 NetWare、UNIX 和 Linux 等 。 
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网 络 操作 系统 在 网 络 应 用 中 发 挥 着 十 分 重要 的 作用 ,因此 ,网 络 操作 系统 本 身 的 安全 
就 成 为 网 络 安全 保护 中 的 重要 内 容 。 


8.2 网 络 操作 系统 的 安全 


目前 ,网 络 上 众多 的 病毒 .木马 、 黑 客 攻击 等 不 安全 因素 的 存在 ,使 得 网 络 操作 系统 的 
安全 运行 和 信息 的 保密 受到 了 极 大 的 威胁 。 为 此 需要 研究 系统 的 安全 防护 方法 和 策略 ， 
以 保护 系统 和 信息 的 安全 。 


8.2.1 网 络 操作 系统 安全 概念 


网 络 操作 系统 安全 是 计算 机 网 络 中 信息 安全 的 基础 ,所 有 的 信息 通信 交换、 处 理 , 存 
储 都 是 通过 网 络 操作 系统 提供 的 程序 和 服务 来 实现 的 。 各 种 应 用 程序 和 服务 要 想 获 得 安 
全 的 运行 和 信息 的 保密 ,必须 依赖 于 网 络 操作 系统 提供 的 安全 防护 。 在 计算 机 网 络 信 息 
系统 中 ,网 络 操 作 系 统 的 安全 性 决定 了 应 用 程序 、 信 息 和 主机 系统 的 安全 性 ,任何 脱离 网 
络 操作 系统 安全 防护 的 安全 性 都 不 可 能 。 

网 络 操作 系统 安全 是 整个 网 络 系统 安全 的 基础 。 网 络 操作 系统 的 安全 功能 主要 包括 
存储 器 保护 (限定 存储 区 和 地 址 重 定位 ,保护 存储 信息 ) ,文件 保护 (保护 用 户 和 系统 文件 ， 
防止 非 授权 用 户 访 问 ) ,访问 控制 ,身份 认证 (识别 请 求 访问 的 用 户 权 限 和 身份 ) 等 方面 。 
操作 系统 安全 机 制 主要 包括 访问 控制 和 隔离 控制 。 隔 离 控 制 主要 有 物理 (设备 或 部 件 ) 隔 
离 .时 间隔 离 . 敢 辑 隔离 和 加 密 隔离 等 实现 方法 ; 而 访问 控制 是 安全 机 制 的 关键 ,也 是 操 
作 系统 安 全 中 最 有 效 、 最 直接 的 安全 措施 。 访 问 控 制 系统 一 般 包括 3 个 方面 。 

(1) 主体 (subject) 

主体 是 指 发 出 访问 操作 、 存 取 请 求 的 主动 方 , 它 包括 用 户 、 用 户 组 、 主 机、 终端 或 应 用 
进程 等 。 

(2) 客体 (object) 

客体 是 指 被 主体 使 用 的 程序 或 要 存 取 的 数据 的 被 动 方 , 它 包括 文件 ,程序 .内存 \ 目 
录 、 队 列 、 进 程 间 报 文 .1/O 设备 和 物理 介质 等 。 

(3) 安全 访问 政策 

安全 访问 政策 是 一 套 规则 ,可 用 于 确定 一 个 主体 能 够 对 客体 拥有 哪些 访问 能 力 ,或 者 
说 是 主体 能 够 进行 什么 样 的 操作 。 

网 络 操 作 系 统 内 的 活动 都 可 以 看 作 是 主体 对 计算 机 系统 内 部 所 有 客体 的 一 系列 操 
作 。 系 统 中 任何 含有 数据 的 能 被 访问 使 用 的 都 是 客体 ,可 能 是 一 个 字 节 文件、 程序 或 者 
是 存储 设备 等 。 能 访问 或 使 用 客体 的 实体 是 主体 ,主体 一 般 是 用 户 或 者 代表 用 户 进 行 操 
作 的 进程 。 在 计算 机 系统 中 ,对 于 给 定 的 主体 和 客体 ,必须 有 一 套 严格 的 规则 来 确定 一 个 
主体 是 否 被 授权 对 客体 的 访问 。 
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8.2.2 网 络 操作 系统 的 安全 问题 


经 过 人 们 的 研究 发 现 , 网 络 操作 系统 最 主要 的 安全 问题 集中 在 三 个 方面 。 

(1) 网 络 操作 系统 输入 输出 (Input/Output) 非 法 访问 

在 一 些 操 作 系 统 中 ,一 旦 输入 输出 操作 被 检查 通过 后 ,该 操作 系统 就 继续 执行 操作 而 
不 再 进行 检查 ,这样 就 可 能 造成 后 续 操 作 的 非法 访问 。 某 些 操作 系统 使 用 公共 的 系统 组 
冲 区 ,任何 用 户 都 可 以 搜索 该 缓冲 区 。 如 果 该 缓冲 区 没有 严格 的 安全 措施 ,那么 其 中 的 机 
密 信息 (用 户 的 认证 数据 .身份 证 号 码 .密码 等 ) 就 有 可 能 泄露 。 

(2) 网 络 操作 系统 漏洞 

在 计算 机 网 络 安全 领域 “漏洞 ?是 指 硬件 、 软 件 或 策略 上 的 缺陷 ,这 种 缺陷 导致 非法 
用 户 未 经 授权 而 获得 访问 系统 的 权限 或 提高 其 访问 权限 。 有 了 这 种 访问 权限 ,非法 用 户 
就 可 以 为 所 欲 为 ,从 而 造成 对 网 络 安全 的 威胁 。 

(3) 网 络 操作 系统 后 门 

某 些 操作 系统 为 了 维护 方便 、 增 强 系统 兼容 性 和 开放 性 ,在 设计 时 预 留 了 一 些 端口 或 
保留 了 某 些 特殊 的 管理 程序 功能 ,但 这 些 端口 和 功能 在 安全 性 方面 未 受到 严格 的 监视 和 
控制 ,为 黑客 留 下 了 入侵 系 统 的 “后 门 ”。 


8.3 Windows Server 2003 的 安全 


Windows Server 2003 操作 系统 界面 友好 、 操 作 方便 、 功 能 强大 ,而 且 众 多 的 应 用 系 
统 都 运行 其 上 ,因此 如 何 保证 系统 的 安全 运行 , 则 显得 尤为 重要 。 


8.3.1 Windows Server 2003 安全 特性 


Windows Server 2003 的 安全 特性 主要 体现 在 用 户 验证 (user authentication) 和 访问 
控制 (access control) 两 个 方面 。 为 了 保证 系统 管理 员 能 够 方便 有 效 地 管理 这 些 安全 特 
性 ,Windows Server 2003 利用 了 Active Directorv 的 功能 。 


1. 用 户 验证 


Windows Server 2003 安全 模型 包括 用 户 验 证 的 概念 , 它 授予 用 户 能 够 登录 到 网 络 
并 访问 网 络 资源 的 能 力 。 在 该 验证 模型 中 ,安全 系统 提供 了 两 类 验证 。 

(1) 交互 式 登录 (interactive logon) 

这 是 我 们 平常 登录 时 最 常见 的 类 型 ,就 是 用 户 通 过 相应 的 用 户 账号 (user account) 和 
密码 在 本 机 进行 登录 。 有 些 网 友 认 为 “交互 式 登录 ”就 是 “本 地 登录 ”, 其 实 这 是 错误 的 。 
“交互 式 登录 ”还 包括 “ 域 账号 登录 ”, 而 “本 地 登录 ” 仅 限于 “本 地 账号 登录 ”。 
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(2) 网 络 验 证 (network authentication) 

最 简单 的 理解 就 是 谁 正在 登录 网 络 , 当 用 户 尝试 进入 网 络 ,访问 服务 时 ,网 络 系统 需 
要 确认 用 户 的 授权 身份 。 为 提供 此 类 证 书 ,Windows Server 2003 安全 系统 提供 了 3 种 不 
同 的 验证 机 制 : Kerberos V5、 公 用 密 钥 证 书 和 NTLM(NT LAN Manager) 。 


2. 基于 对 象 的 访问 控制 (object-based access control) 


在 基于 受 控 对 象 的 访问 控制 模型 中 ,将 访问 控制 列表 与 受 控 对 象 或 受 控 对 象 的 属性 
相关 联 , 并 将 访问 控制 选项 设计 成 为 用 户 、 组 或 角色 及 其 对 应 权限 的 集合 ; 同时 允许 对 策 
略 和 规则 进行 重用 、 继 承 和 派生 操作 。 这 样 ,不仅 可 以 对 受 控 对 象 本 身 进 行 访问 控制 , 受 
控 对 象 的 属性 也 可 以 进行 访问 控制 ,而 且 派 生 对 象 可 以 继承 父 对 象 的 访问 控制 设置 ,这 对 
于 信息 量 巨大 、 信 息 内 容 更 新 变化 频繁 的 管理 信息 系统 非常 有 益 , 可 以 减轻 由 于 信息 资源 
的 派生 、 演 化 和 重组 等 带 来 的 分 配 、 设 定 角色 权限 等 的 工作 量 。 

Windows Server 2003 通过 安全 描述 符 (security descriptor) 来 进行 访问 控制 (access 
control) 。 系 统 的 每 个 容器 和 对 象 都 有 一 组 附加 的 访问 控制 信息 。 该 信息 称 为 安全 描述 
符 , 它 控制 用 户 和 组 允许 使 用 的 访问 类 型 。 安 全 描述 符 是 和 所 创建 的 容器 或 对 象 一 起 自 
动 创建 的 。 带 有 安全 描述 符 的 对 象 的 典型 范例 就 是 文件 。 安 全 描述 符 将 列 出 授权 访问 对 
象 的 用 户 和 组 ,以 及 指定 给 这 些 用 户 和 组 的 特殊 权限 ,同时 还 指定 了 需要 为 该 对 象 进行 审 
核 的 各 类 访问 事件 。 权 限 是 在 对 象 的 安全 描述 符 中 定义 的 。 权 限 与 特定 的 用 户 和 组 相关 
联 , 或 者 是 指派 到 特定 的 用 户 和 组 。 例 如 ,对 于 文件 Temp. dat,Administrator 组 可 能 指 
派 了 读 取 、 写 人 和 删除 权限 ,而 Operator 组 可 能 只 指派 了 读 取 和 写 入 权限 。 通 过 管理 对 
象 的 属性 ,系统 管理 员 可 以 设置 权限 、 指 定 管理 人 并 监视 用 户 的 访问 。 


3. Active Directory 和 安全 性 


Active Directory 通过 使 用 对 象 的 访问 控制 和 用 户 凭据 (credentials) 来 提供 用 户 账户 
和 组 信息 的 保护 存储 。 由 于 Active Directory 不 仅 存 储 用 户 凭据 ,而 且 还 包括 访问 控制 信 
息 , 因 此 登录 到 网 络 的 用 户 , 可 以 同时 获得 访问 系统 资源 的 验证 Cauthentication) 和 授权 
(authorization)。 例 如 , 当 用 户 登录 到 网 络 时 ,Windows Server 2003 安全 系统 将 使 用 存 
储 在 Active Directory 中 的 账户 信息 对 用 户 进行 验证 。 然 后 , 当 用 户 登 录 到 网 络 服 务 时 ， 
系统 将 检查 该 服务 的 访问 控制 列表 (ACL) 中 定义 的 属性 。 用 户 可 以 通过 随意 设 定 访问 
控制 列表 来 设置 对 任何 组 织 单位 中 的 对 象 的 管理 。 例 如 ,授权 一 个 系统 管理 员 可 以 重新 
设置 密码 ,但 给 他 不 授权 增加 或 删除 账号 的 权力 。 

通过 在 Active Directory 中 使 用 组 策略 ,系统 管理 员 可 以 集中 地 把 所 需要 的 安全 保护 
加 强 到 某 个 容器 (SDOTJ) 的 所 有 用 户 / 计 算 机 对 象 上 。Windows Server 2003 包括 了 一 些 
安全 性 模板 , 既 可 以 针对 计算 机 所 担当 的 角色 来 实施 ,也 可 以 作为 创建 定制 的 安全 性 模板 
的 基础 。 

一 般 而 言 ,Windows Server 2003 中 提供 的 是 一 个 安全 性 框架 ,并 不 偏重 于 任何 一 种 
特定 的 安全 特性 。 新 的 安全 协议 、 加 密 服务 提供 者 或 者 第 三 方 的 验证 技术 ,可 以 很 方便 地 
结合 到 Windows Server 2003 的 “安全 服务 提供 者 接口 ”(security service provider 
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interface,SSPD 中 ,以 供用 户 选 用 。 
8.3.2 Windows Server 2003 增强 的 安全 机 制 


我 们 将 一 起 探究 Windows Server 2003 增强 的 安全 机 制 。 新 的 操作 系统 中 提高 安全 
性 的 新 特性 随处 可 见 , 但 这 里 我 们 只 注重 大 多 数 Windows 用 户 和 管理 员 最 关心 的 方面 ， 
借 此 感受 一 下 Windows Server 2003 新 的 安全 机 制 。 


1. NTFS 和 共享 权限 


在 以 前 的 Windows 中 ,默认 的 权限 许可 将 “完全 控制 "授予 了 Everyone 组 ,整个 文件 
系统 根本 没有 安全 性 可 言 ( 就 本 地 访问 来 说 )。 但 从 Windows XP Pro 开始 ,授予 
Everyone 组 的 根 目录 NTFS 权限 只 有 读 取 和 执行 , 且 这 些 权 限 只 对 根 文件 夹 有 效 。 也 就 
是 说 ,对 于 任何 根 目录 下 创建 的 子 文件 夹 ,Everyone 组 都 不 能 继承 这 些 权 限 。 对 于 安全 
性 要 求 更 高 的 系统 文件 夹 ,例如 Program Files 和 Windows 文件 夹 ,Everyone 组 也 已 经 
从 ACL 中 排除 出 去 。 

对 于 新 创建 的 共享 资源 ,Everyone 现在 只 有 读 取 的 权限 。 另 外 ,Everyone 组 现在 不 
再 包含 匿名 SID( 安 全 标识 符 , 一 种 不 同 长 度 的 数据 结构 ,用 来 识别 用 户 、 组 和 计算 机 账 
户 。 网 络 上 每 一 个 初次 创建 的 账户 都 会 收 到 一 个 唯一 的 SID。Windows 中 的 内 部 进程 
将 引用 账户 的 SID, 而 不 是 账户 的 用 户 名 或 组 名 ) ,进一步 减少 了 未 经 授权 访问 文件 系统 
的 可 能 性 。 要 快速 查看 文件 或 文件 夹 的 NTFS 权限 ,可 以 右 击 文件 或 文件 来, 选择 “ 属 
性 ?命令 ,选择 “安全 ?选项 卡 , 单 击 “高 级 "按钮 ,在 “高 级 安全 设置 ?对 话 框 中 查看 “有 效 权 
限 ? 选 项 卡 ,不 用 再 猜测 或 进行 复杂 的 分 析 来 了 解 继承 的 以 及 直接 授予 的 NTFS 权限 。 
不 过 ,这 个 功能 还 不 能 涵盖 共享 权限 。 


2. 文件 和 文件 夹 的 所 有 权 


在 Windows Server 2003 系统 中 ,你 不 仅 可 以 拥有 文件 系统 对 象 (文件 或 文件 夹 ) 的 
所 有 者 权限 ,而 且 还 可 以 通过 该 文件 或 文件 夹 “ 高 级 安全 设置 "对话 框 的 “所 有 者 ”选项 卡 
将 权限 授予 任何 人 。 

Windows 的 磁盘 配额 是 根据 所 有 者 属性 计算 的 ,授予 其 他 人 所 有 者 权限 的 功能 简化 
了 磁盘 配额 的 管理 。 例 如 ,管理 员 应 用 户 的 要 求 创建 了 新 的 文件 (例如 复制 一 些 文件 ,或 
安装 新 的 软件 ) ,使 得 管理 员 成 为 新 文件 的 所 有 者 , 即 新 文件 占用 的 磁盘 空间 不 计 人 用 户 
的 磁盘 配额 限制 。 以 前 ,要 解决 这 个 问题 必须 经 过 繁琐 的 配置 修改 ,或 者 必须 使 用 第 三 方 
工具 。 现 在 Windows Server 2003 直接 在 用 户 界面 中 提供 了 设置 所 有 者 的 功能 ,这 类 有 
关 磁 盘 配 额 的 问题 就 可 以 方便 地 解决 了 。 


3. Windows 服务 配置 


Windows 服务 配置 方面 的 变化 可 分 为 两 个 方面 。 
(1) 几 种 最 容易 受到 攻击 的 服务 ,例如 Clipbook( 启 用 “剪贴 簿 查看 器 ”储存 信息 并 与 
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远程 计算 机 共享 )、Network DDE( 为 在 同一 台 计 算 机 或 不 同 计算 机 上 运行 的 程序 提供 动 
态 数 据 交换 (DDE) 的 网 络 传输 和 安全 )、Network DDE DSDM( 用 于 管理 动态 数据 交换 网 
络 共享 )、Telnet、WebClient( 使 基于 Windows 的 程序 能 创建 ,访问 和 修改 基于 Internet 
的 文件 ) 等 ,在 默认 配置 情况 下 已 经 被 禁止 了 。 还 有 一 些 服 务 只 有 在 必要 时 才 启 用 。 例 如 
Intersite Messaging( 启 用 在 运行 Windows Server 的 站 点 间 交 换 消息 ) 只 有 在 域 控制 器 提 
升 时 才 启 用 ; Routing and Remote Access Service( 为 网 络 上 的 客户 端 和 服务 器 启用 多 重 
协议 一 一 LAN 到 LAN,LAN 到 WAN, 虚 拟 专用 网 络 (VPN) 和 网 络 地 址 转换 (NAT) 路 
由 服务 ) 只 有 在 配置 Windows Server 2003 作为 路 由 器 、 按 需 拨号 的 服务 器 、 远 程 访问 服 
务 器 时 才 启 用 。 

(2) 因为 Local System 具有 不 受 限 制 的 本 地 特权 ,所 以 运行 在 Local System 安全 上 
下 文 之 下 的 服务 变 少 了 。 现 在 ,许多 情况 下 ,Local System 被 Local Service 或 Network 
Service 账户 取代 ,这 两 个 账户 都 只 有 稍 高 于 授权 用 户 的 特权 。Local Service 账户 用 于 本 
地 系统 的 服务 , 它 类 似 于 已 验证 的 用 户 账户 的 特殊 内 置 账户 。Local Service 账户 对 于 资 
源 和 对 象 的 访问 级 别 与 Users 组 的 成 员 相 同 。 如 果 单 个 服务 或 进程 受到 危害 , 则 通过 上 
述 受 限制 的 访问 将 有 助 于 保护 系统 。 

以 Local Service 账户 运行 的 服务 作为 空 会 话 , 而 且 不 使 用 任何 凭据 访问 网 络 资源 。 
相对 地 ,Network Service 则 被 用 于 必须 要 有 网 络 访问 的 服务 , 它 对 于 资源 和 对 象 的 访问 
级 别 也 与 Users 组 的 成 员 相同 , 以 Network Service 账户 来 运行 的 服务 将 使 用 计算 机 账户 
的 凭据 来 访问 网 络 资源 。 


4. 身份 验证 


身份 验证 方面 的 增强 涵盖 了 基于 本 地 系统 的 身份 验证 和 基于 活动 目录 域 的 身份 

在 本 地 系统 验证 方面 ,默认 的 设置 限制 不 带 密码 的 本 地 账户 只 能 用 于 控制 台 。 这 就 
是 说 ,不 带 密码 的 账户 将 不 能 再 用 于 远程 系统 的 访问 ,例如 驱动 器 映射 .远程 桌面 /远程 协 
助 连接 。 

活动 目录 验证 的 变化 在 跨越 林 的 信任 方面 特别 突出 。 跨 越 林 的 信任 功能 允许 在 林 的 
根 域 之 间 创 建 基于 Kerberos 的 信任 关系 (要 求 两 个 林 都 运行 在 Windows 2003 功能 级 别 
上 )。 在 Windows Server 2003 林 中 ,管理 员 可 创建 一 个 林 , 将 单个 林 范 围 外 的 双向 传递 
性 扩展 到 另外 一 个 Windows Server 2003 林 中 。 在 Windows Server 2003 林 中 ,这 种 跨越 
将 两 个 断 开 连接 的 Windows Server 2003 林 链 接 起 来 建立 单 向 或 双向 可 传递 信任 关系 。 
双向 林 信 任用 于 在 两 个 林 中 的 每 个 域 之 间 建 立 可 传递 的 信任 关系 。 

在 Windows Server 2003 Active Directory 中 ,默认 情况 下 ,新 的 外 部 信任 和 林 信 任 
强制 SID 筛选 。SID 筛选 用 于 防止 可 能 试图 将 提升 的 用 户 权限 授予 其 他 用 户 账户 的 恶意 
用 户 的 攻击 。 强 制 SID 筛选 不 会 阻止 同一 林 中 的 域 迁 移 使 用 SID 历史 记录 ,而 且 也 不 会 
影响 全 局 组 的 访问 控制 策略 。 

在 默认 配置 下 ,身份 验证 是 在 林 的 级 别 上 进行 的 ,来 自 其 他 林 的 责任 人 将 被 授予 与 本 
地 用 户 和 计算 机 同样 的 访问 能 力 。 但 无 论 是 谁 ,都 受到 设置 在 资源 上 的 权限 的 约束 。 
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8.3.3 Windows Server 2003 安全 配置 


Windows Server 2003 在 系统 安装 完 之 后 初始 默认 的 情况 下 是 比较 安全 的 ,可 以 满 
足 一 般 用 户 的 需要 ,但 还 需要 经 过 一 些 手工 设置 来 获得 更 高 的 安全 性 。 下 面 将 介绍 一 些 
提高 安全 性 的 设置 方法 。 


1. 修改 管理 员 账 号 和 创建 陷阱 账号 


多 年 以 来 ,微软 一 直 在 强调 最 好 重 命名 Administrator 账号 并 禁用 Guest 账号 ,从 而 
实现 更 高 的 安全 。 方 法 是 : 打开 < 开始 ”一 “程序 ”管理 工具 ”一 “本 地 安全 策略 ”窗口 ， 
依次 展开 “本 地 策略 ”一 “安全 选项 ”, 在 右边 窗 格 中 有 一 个 “账户 : 重 命名 系统 管理 员 账 户 ” 
的 策略 ,双击 打开 它 , 给 Administrator 重新 设置 一 个 普通 的 用 户 名 ,尽量 把 它 伪 装 成 普通 用 
户 。 密 码 最 好 采用 数字 加 大 小 写字 母 加 数字 的 上 档 键 组 合 ,长度 最 好 不 少 于 14 位 。 

由 于 大 多 数 攻击 发 生 时 ,首先 做 的 就 是 破解 Administrator 账号 的 密码 ,因此 可 以 利 
用 这 一 特点 新 建 一 个 名 为 Administrator 的 陷阱 账号 ,为 其 设置 最 小 的 权限 ,然后 随便 输 
入 不 低 于 20 位 的 组 合 密码 。 

为 了 进一步 加 强 账户 的 安全 ,可 在 运行 中 输入 gpedit. msc 回 车 ,打开 组 策略 编辑 器 。 
选择 “计算 机 配置 ”>“Windows 设置 ”一 安全 设置 ”一 账户 策略 ”账户 锁定 策略 ”, 将 
账户 设 为 “三 次 登录 无 效 “ 锁 定时 间 20 分 钟 ”复位 锁定 计数 设 为 30 分 钟 "。 在 安全 设 
置 -本 地 策略 -安全 选项 中 将 “不 显示 上 次 的 用 户 名 ” 设 为 启用 。 


2. 删除 默认 共享 


在 Windows Server 2003 系统 中 ,逻辑 分 区 与 Windows 目录 默认 为 共享 ,这 是 为 管 
理 员 管理 服务 器 的 方便 而 设 ,但 却 成 为 了 别有用心 之 徒 可 趁 的 安全 漏洞 。 所 以 要 禁止 或 
删除 这 些 共 享 以 确保 安全 。 首 先 创建 记事 本 文件 ,并 在 编辑 界面 中 输入 下 面 的 命令 代码 : 


net share c$ /del 
net share d$ /del 


net share ipc $ /del 

net share admin$ /del 

由 于 不 同 用 户 的 系统 分 区 个 数 不 同 , 用 户 可 以 根据 自己 的 实际 情况 输入 内 容 , 有 几 个 
输入 几 个 。 然 后 将 文件 保存 成 扩展 名 为 “bat? 的 批 处 理 文件 ,存放 到 系统 的 system32\ 
GroupPolicy\user\Scripts\Logon 文件 夹 中 。 打 开 组 策略 编辑 器 。 展 开 “ 用 户 配置 ”一 
“Windows 设置 ”>“ 脚 本 (登录 /注销 )”, 双 击 右 边 窗 格 的 “登录 ”项 ,在 出 现 的 “登录 属性 ” 
对 话 框 中 单 击 “ 添 加 ”按钮 ,在 “添加 脚本 ”对 话 框 中 的 “脚本 名 ”文本 框 中 输入 刚才 创建 的 
文件 名 称 (包括 扩展 名 ) , 单 击 “ 确 定 ” 按 钮 。 这 样 就 可 以 通过 组 策略 编辑 器 使 系统 一 开机 
即 执行 脚本 ,删除 系统 默认 的 共享 。 或 者 将 刚 创建 好 的 批 处 理 文件 的 快捷 方式 拖 到 “ 启 
动 ” 菜 单 中 ,同样 也 能 达到 目的 。 
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上 面 的 方法 使 得 计算 机 每 次 运行 ,都 要 执行 删除 行为 ,如 果 要 永久 删除 默认 共享 则 可 
以 通过 修改 注册 表 来 实现 。 单 击 “ 开 始 一 运行 "命令 ,在 “运行 ”对 话 框 中 输入 “Regedit” 后 
回 车 ,打开 注册 表 编 辑 器 。 依 次 展开 [HKEY_LOCAL_MACHINE\SYSTEM\Current- 
ControlSet \ Services \ lanmanserver \ parameters | 分支 ,将 右 侧 窗 格 中 的 DOWRD 值 
“AutoShareServer” 设 置 为 "0" 即 可 。 如 果 要 禁止 ADMIN $ 共享 ,可 以 在 同样 的 分 支 下 ， 
将 右 侧 窗口 中 的 DOWRD 值 *AutoShareWKs” 设 置 为 “0” 即 可 。 如 果 要 禁止 IPC$ 共享 ,可 
以 在 注册 表 编 辑 器 中 依次 展开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ 
Control\Lsa] 分 支 ,将 右 侧 窗口 中 的 DOWRD 值 *restrictanonymous” 设 置 值 为 *1” 即 可 。 


3. 禁用 IPC 连接 


IPC$ (Internet process connection) ,也 就 是 远程 网 络 连接 。 它 是 为 了 让 进程 间 通 信 
而 开放 的 命名 管道 ,可 以 通过 验证 用 户 名 和 密码 获得 相应 的 权限 ,在 远程 管理 计算 机 和 查 
看 计算 机 的 共享 资源 时 使 用 。 默 认 情 况 下 ,IPC 是 共享 的 。 建 立 IPC 连接 不 需要 任何 黑 
客 工具 ,只 须 在 命令 行 里 键入 相应 的 命令 : net use \\ip address\ipc $ password /user: 
usernqme 即 可 ,不 过 有 个 前 提 条 件 , 那 就 是 需要 知道 远程 主机 的 用 户 名 和 密码 。 

利用 IPC$ ,连接 者 可 以 与 目标 主机 建立 一 个 空 的 连接 , 即 无 须 用 户 名 和 密码 就 能 连 
接 主机 ,虽然 这 样 的 连接 是 没有 任何 操作 权限 的 。 但 利用 这 个 空 的 连接 ,连接 者 可 以 得 到 
目标 主机 上 的 用 户 列表 。 利 用 获得 的 用 户 列表 ,就 可 以 猜 密 码 ,或 者 穷 举 密码 ,从 而 获得 
更 高 ,甚至 管理 员 权限 。 

要 防止 别人 用 ipc$ 入 侵 ,需要 禁止 ipc$$ 空 连接 。 打 开 注册 表 编 辑 器 。 找 到 如 下 组 
键 [LHKEY _ LOCAL _ MACHINE\SYSTEM \ CurrentControlSet \ Control\ LSA] 把 
RestrictAnonymous 子 键 的 DWORD 键 值 改 为 : 00000001, 即 可 禁用 IPC 连接 。 


4. 先 关闭 不 需要 的 端口 


139 端口 是 NetBIOS 协议 所 使 用 的 端口 ,在 安装 了 TCP/IP 协议 的 同时 ,NetBIOS 
也 会 被 作为 默认 设置 安装 到 系统 中 。 在 Windows Server 2003 中 ,如 果 想 彻底 关闭 139 
端口 ,除了 单 击 * 开 始 ”>“ 控 制 面板 ”>“ 网 络 连接 ”, 在 “网 络 和 拨号 连接 ”窗口 , 右 击 “本 地 
连接 ”, 打 开 “ 属 性 ”一 “本 地 连接 属性 ”对 话 框 ,取消 选中 “Microsoft 网 络 的 文件 和 打印 机 
共享 ” 复 选 框 以 外 ,还 需要 选中 “Internet 协议 (TCP/IP)”, 单 击 “ 属 性 ”一 “高 级 ”一 
“WINS”, 把 “禁用 TCP/IP 上 的 NetBIOS” 选 中 , 才 可 彻底 关闭 139 端口 。 

如 果 服 务 器 还 安装 IIS, 那 么 最 好 重新 设置 一 下 端口 过 滤 。 打 开 “ 本 地 连接 属性 ”对 话 
框 ,然后 双击 “Internet 协议 (TCP/IP)”。 在 “Internet 协议 (TCP/IP) 属 性 ”对 话 框 的 “ 常 
规 ” 选 项 卡 中 , 单 击 “ 高 级 "按钮 ,进入 “高 级 TCP/IP 设置 ?对 话 框 , 选 择 * 选 项 ”选项 卡 中 的 
可 选 设置 项 :“TCP/IP 筛选 ?项 。 然 后 点 “属性 ?按钮 ,打开 *TCP/IP 筛选 "对话 框 ,在 该 
对 话 框 的 “启用 TCP/IP 筛选 (所 有 适配器 )” 前 面 打上 “VV”, 然 后 根据 需要 配置 就 可 以 了 。 
如 果 你 只 打算 开放 网 页 浏览 , 则 只 开放 TCP 端口 80 即 可 。 在 “TCP 端口 ”上方 选择 “只 
允许 ”, 然 后 单 击 “ 添 加 ”按钮 .输入 80 ,再 单 击 “确定 ” 即 可 。 
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5. 关闭 不 必要 的 服务 


服务 其 实 是 Windows Server 2003 中 一 种 特殊 的 应 用 程序 类 型 ,不 过 它 是 在 后 台 运 
行 ,所 以 我 们 在 任务 管理 器 看 不 到 它 。 安 装 Windows Server 2003 后 ,通常 系统 会 默认 启 
被 


动 许多 服务 ,其 中 有 些 服务 是 普通 用 户 根本 用 不 到 的 ,不 但 占用 系统 资源 ,还 有 可 能 被 黑 
客 所 利用 。 

服务 分 为 三 种 启动 类 型 。 

(1) 自动 


如 果 一 些 无 用 服务 被 设置 为 自动 , 它 就 会 随机 器 一 起 启动 ,这 样 会 延长 系统 启动 时 
间 。 通 常 与 系统 有 紧密 关联 的 服务 才 必 须 设 置 为 自动 。 

(2) 手动 

只 有 在 需要 它 的 时 候 , 才 会 被 启动 。 

(3) 已 禁用 

表示 这 种 服务 将 不 再 启动 ,即使 是 在 需要 它 时 ,也 不 会 被 启动 ,除非 修改 为 上 面 两 种 类 型 。 

如 果 我 们 要 关闭 正在 运行 的 服务 ,只 要 选中 它 , 然 后 在 右键 菜单 中 选择 “停止 " 即 可 。 
但 是 下 次 启动 机 器 时 , 它 还 可 能 自动 或 手动 运行 。 

如 果 服 务 项 目 确实 无 用 ,可 以 选择 禁止 服务 。 碳 击 * 我 的 电脑 ” ,选择 “管理 ”; 在 打开 
的 “计算 机 管理 对话 框 中 , 单 击 “ 服 务 选 项 ; 右 击 右边 选项 框 中 选择 没有 必要 开放 的 服 
务 ,选择 “属性 ”; 在 出 现 的 服务 属性 对 话 框 * 常 规 ” 选 项 卡 中 ,选择 “启动 类 型 "下 的 “禁用 ” 
选项 ; 在 服务 状态 选项 中 单 击 “ 停 止 " 按 钮 ; 单 击 “ 确 定 ” 按 钮 ,停止 该 项 服务 。 这 项 服务 

如 果 以 后 需要 重新 起 用 它 , 只 要 在 此 选择 “自动 ”或 手动”* 即 可 。 也 可 以 通过 命令 行 
“net start 服务 名 ”来 启动 ,比如 “net start telnet”。 


6. Windows Server 2003 防火 墙 


Windows server 2003 系统 自 带 “Internet 连接 防火 墙 ?功能 ,该 防火 墙 功能 可 对 黑客 
的 攻击 进行 很 好 的 防范 。 甚 设置 方法 如 下 : 右 击 “网 上 邻居 ”, 选 择 “ 属 性 "命令 。 然 后 右 
击 “ 本 地 连接 ”, 选 择 “ 属 性 ”命令 。 在 出 现 的 “本 地 连接 属性 "对话 框 中 ,选择 “高 级 ”选项 
卡 , 选 中 其 中 的 “Internet 连接 防火 墙 ,确定 后 防火 墙 即 起 作用 。 在 防火 墙 设置 好 以 后 ， 
可 在 另外 一 台 机 器 上 ping 本 机 ,来 测试 防火 墙 是 否 已 经 起 作用 。 如 果 Ping 命令 返回 
Request timed out, 表 示 ping 不 通 本 机 ,说 明 防火 墙 已 经 起 作用 。 

有 时 在 设置 好 防火 墙 以 后 , 欲 在 本 机 开通 相应 的 服务 ,此 时 可 单 击 “ 本 地 连接 属性 ?对 
话 框 的 “高 级 ”选项 卡 中 的 “设置 ”按钮 ,出 现 “ 高 级 设置 ”对 话 框 。 在 此 对 话 框 的 “服务 ” 选 
项 卡 中 选择 要 开通 的 服务 。 比 如 说 选中 了 “FTP 服务 ”, 这 样 从 其 他 机 器 就 可 FTP 到 本 
机 ,扫描 本 机 可 以 发 现 21 端口 是 开放 的 。 如 果 要 开通 的 服务 没有 在 列表 中 出 现 ,可 单 击 
“添加 ”按钮 增加 相应 的 服务 端口 。 在 “高 级 设置 ”对 话 框 的 “服务 ”选项 卡 中 设置 日 志 。 选 
择 要 记录 的 项 目 ,防火 墙 将 记录 相应 的 数据 ,日 志 默 认 在 c:\Windows\pfirewall. log ,其 
内 容 用 “记事 本 ”就 可 以 打开 查看 。 
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8.4 Windows Server 2003 的 安全 策略 


8.4.1 账户 保护 安全 策略 


攻击 者 攻击 系统 时 ,往往 围绕 着 密码 的 破解 来 进行 。 为 了 避免 用 户 身份 由 于 密码 的 
破解 而 被 夺取 或 盗用 ,通常 可 采取 诸如 提高 密码 的 破解 难度 .启用 账户 锁定 策略 .限制 用 
户 登录 限制 外 部 连接 以 及 防范 网 络 嗅 探 等 措施 来 加 强 安全 。 


1. 提高 密码 的 破解 难度 


提高 密码 的 破解 难度 主要 是 通过 采用 提高 密码 组 成 的 复杂 性 、 增 加 密码 长 度 及 提高 
更 换 密码 的 频率 等 措施 来 实现 。 对 于 用 户 来 说 这 很 难 做 到 的 ,因为 用 户 往往 为 了 避免 密 
码 被 忘记 ,常常 长 期 使 用 一 个 容易 记得 简单 密码 。 因 此 对 于 一 些 安全 敏感 用 户 就 必须 采 
取 一 些 相关 的 措施 ,以 强制 改变 用 户 这 种 不 安全 密码 的 使 用 习惯 。 

在 Windows Server 2003 系统 中 可 通过 一 系列 的 安全 设置 ,并 同时 制定 相应 的 安全 
策略 来 解决 这 一 问题 。 例 如 ,可 以 通过 在 系统 的 安全 策略 中 设 定 “ 密 码 策略 "来 实现 。 
Windows Server 2003 系统 的 安全 策略 可 以 根据 网 络 的 情况 ,针对 不 同 的 场合 和 范围 有 
针对 性 地 设置 。 例 如 可 以 针对 本 地 计算 机 、 域 及 相应 的 组 织 单元 来 设置 ,这 完全 取决 于 该 
策略 要 影响 的 范围 。 

密码 策略 可 以 在 域 安全 范围 内 设 定 。 在 域 管理 工具 中 和 运行" 域 安全 策略 ?工具 ,然后 
就 可 以 针对 密码 策略 进行 相应 的 设置 。 密 码 策略 也 可 以 在 指定 的 计算 机 上 用 “本 地 安全 
策略 ?来 设 定 。 同 时 也 可 在 网 络 中 特定 的 组 织 单元 通过 组 策略 进行 设置 。 


2. 启用 账户 锁定 策略 


账户 锁定 是 指 当 某 些 情况 发 生 时 ,为 保护 该 账户 的 安全 而 将 此 账户 锁定 ,从 而 使 该 账 
户 在 一 定 的 时 间 内 不 能 使 用 ,从 而 挫败 攻击 者 的 攻击 行为 。 

Windows Server 2003 系统 在 默认 情况 下 ,为 方便 用 户 起 见 , 这 种 锁定 策略 并 没有 进 
行 设 定 , 此 时 ,对 黑客 的 攻击 没有 任何 限制 。 账 户 锁定 策略 首先 就 是 指定 账户 锁定 的 阔 
值 , 即 设 定 该 账户 无 效 登 录 的 次 数 。 一 般 设 置 锁定 阔 值 为 3 次 ,这 样 只 允许 3 次 登录 学 
试 。 如 果 3 次 登录 全 部 失败 ,就 会 锁定 该 账户 ,用 户 将 无 法 再 使 用 该 账户 登录 。 

一 旦 账户 被 锁定 后 ,只 有 管理 员 才 可 以 重新 开启 该 账户 ,这 会 为 普通 用 户 带 来 许多 不 
便 。 为 此 ,可 以 同时 设 定 锁 定 的 时 间 和 复位 计数 器 的 时 间 , 当 锁定 时 间 一 过 ,账户 又 可 以 
登录 了 。 账 户 的 锁定 可 以 有 效 地 避免 自动 猜测 工具 的 攻击 ,虽然 会 给 用 户 造 成 不 便 ,但 却 
加 强 了 系统 的 安全 性 。 


3. 限制 用 户 登 录 
对 于 内 部 网 络 的 用 户 还 可 以 通过 对 其 登录 行为 进行 限制 ,比如 登录 的 时 间 、 地 点 等 ， 
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来 保障 用 户 账户 的 安全 。 对 于 Windows Server 2003 网 络 来 说 ,运行 “Active Directory 用 
户 和 计算 机 ?管理 工具 ,然后 选择 相应 的 用 户 ,打开 该 账户 的 属性 对 话 框 。 单 击 其 中 的 “ 登 
录 时 间 ? 按 钮 ,在 这 里 可 以 设置 允许 该 用 户 登 录 的 时 间 , 这 样 就 可 防止 非 工 作 时 间 的 登录 
行为 。 单 击 其 中 的 “登录 到 ?按钮 ,在 这 里 可 以 设置 允许 该 账户 从 哪些 计算 机 登录 。 另 外 ， 
还 可 以 通过 * 账 户 ? 选 项 来 限制 登录 时 的 行为 。 例 如 使 用 * 用 户 必 须 用 智能 卡 登录 ”, 就 可 
避免 直接 使 用 密码 验证 。 除 此 之 外 ,还 可 以 引入 指纹 验证 等 更 为 严格 的 手段 。 这 样 限制 
以 后 ,即使 是 密码 出 现 泄露 ,系统 也 可 以 在 一 定 程 度 上 将 黑客 阻挡 在 “ 门 外 ”。 


4. 限制 外 部 连接 


由 于 一 些 工 作 的 关系 ,通常 需要 在 内 部 网 络 中 提供 拨号 接 人 服务 。 由 于 这 个 连接 无 
法 隐藏 ,因此 常常 成 为 黑客 入 侵 内 部 网 络 的 最 佳人 口 。 为 此 ,必须 为 远程 接 和 人 账户 采取 一 
定 的 措施 来 降低 风险 ,增加 安全 性 。 

在 Windows Server 2003 系统 中 ,远程 访问 服务 默认 情况 下 将 允许 具有 拨 入 权限 的 
所 有 用 户 建立 连接 ,但 明显 这 是 没有 必要 的 ,因为 有 一 些 账户 不 是 远程 接 人 账户 ,不 必要 
给 它们 分 配 拨 入 权限。 因此 ,要 合理 地 ,严格 地 设置 用 户 账 户 的 拨 入 权限 ,严格 限制 氢 入 
权限 的 分 配 范 围 。 此 外 ,对 于 网 络 中 的 一 些 特殊 用 户 和 固定 的 分 支 机 构 的 用 户 , 还 可 通过 
回 拨 技 术 来 提高 网 络 安全 性 。 这 里 所 谓 的 回 拨 , 是 指 在 主 叫 方 通过 验证 后 立即 挂 断 线路 ， 
然后 由 被 叫 方 回 拨 到 主 叫 方 的 电话 上 。 如 果 活 动 目录 工作 在 本 机 模式 下 ,这 时 可 以 通过 
存储 在 访问 服务 器 上 或 Internet 验证 服务 器 上 的 远程 访问 策略 来 管理 账户 拨 入 的 安 
全 性 。 


5. 限制 特权 组 成 员 


在 Windows Server 2003 网 络 中 ,还 有 一 种 非常 有 效 的 防范 黑客 人 侵 和 管理 疏忽 的 
辅助 手段 ,就 是 利用 “ 受 限 制 的 组 ”安全 策略 。 该 策略 可 保证 组 成 员 的 组 成 固定 。 在 域 安 
全 策略 的 管理 工具 中 添加 要 限制 的 组 ,在 “组 ”对 话 框 中 输入 或 查找 要 添加 的 组 。 一 般 要 
对 管理 员 组 等 特权 组 的 成 员 加 以 限制 。 下 一 步 就 是 要 配置 这 个 受 限制 的 组 的 成 员 。 在 这 
里 选择 受 限制 的 组 的 “安全 性 ?选项 。 然 后 ,就 可 以 管理 这 个 组 的 成 员 组 成 ,可 以 添加 或 删 
除 成 员 , 当 安全 策略 生效 后 ,可 防止 黑客 将 后 门 账户 添加 到 该 组 中 。 


6. 防范 网 络 嗅 探 


内 部 网 络 往往 是 由 多 个 局 域 网 构成 .而 局 域 网 采用 广播 方式 进行 通信 ,使 得 信息 很 容 
易 被 窍 听 。 网 络 嗅 探 就 是 通过 搭 线 等 手段 侦 听 网 络 中 传输 的 数据 ,来 获得 有 价值 的 信息 。 
对 于 普通 的 网 络 嗅 探 可 通过 采用 交换 网 络 和 加 密会 话 等 手段 来 防御 。 

交换 网 络 对 于 普通 的 网 络 嗅 探 手段 具有 先天 的 免疫 能 力 。 这 是 由 于 在 交换 网 络 环境 
下 ,每 一 个 交换 端口 就 是 一 个 独立 的 广播 域 ,通信 的 计算 机 之 间 通 过 交换 机 进行 点 对 点 通 
信 ,而 非 广播 。 因 而 网 络 嗅 探 在 交换 网 络 中 就 失去 了 作用 。 在 通信 双方 之 间 建 立 加 密 的 
会 话 连接 也 是 非常 有 效 的 方法 。 这 样 , 即 使 黑客 成 功 地 进行 了 网 络 嗅 探 , 但 由 于 捕获 的 都 
是 密 文 ,在 没有 破译 密 文 之 前 ,获得 的 数据 毫 无 价值 。 
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7. 网 络 通信 安全 


为 了 加 强 Internet 的 安全 性 ,从 1995 年 开始 ,IETF 着 手 研 究 制订 了 一 套用 于 保护 
IP 通信 的 安全 协议 (IP Security,IPSec) 。IPSec 提供 了 基于 IP 的 网 络 层 安全 , 它 服务 所 
有 基于 IP 的 网 络 通信 ,对 于 上 层 协议 应 用 来 说 是 完全 透明 的 。 

在 Windows Server 2003 系统 中 ,其 服务 器 产品 和 客户 端 产品 都 提供 了 对 IPSec 的 
支持 ,从 而 增强 了 安全 性 、 可 伸缩 性 以 及 可 用 性 ,同时 使 部 署 和 管理 更 加 方便 。 在 
Windows Server 2003 系统 的 安全 策略 相关 的 管理 工具 集中 ,例如 本 地 安全 策略 、 域 安全 
策略 和 组 策略 等 都 集成 了 相关 的 管理 工具 。 可 通过 Microsoft 管理 控制 台 MMSC 定制 的 
管理 工具 进行 设置 。 首 先 在 “开始 "菜单 中 单 击 “ 运 行 ”选项 ,然后 输入 mmc, 单 击 “ 确 定 ” 
按钮 。 在 “控制 台 1” 窗 口 的 “文件 "菜单 中 选择 “添加 /删除 管理 单元 ”命令 。 在 “添加 / 删 
除 管理 单元 ”对 话 框 中 单 击 “ 添 加 ”按钮 。 在 “添加 独立 管理 单元 ”对 话 框 的 可 用 的 独立 管 
理 单元 列表 中 ,选择 *IP 安全 策略 管理 ”选项 ,双击 或 单 击 “ 添 加 ”按钮 ,在 弹出 的 “选择 计 
算 机 或 域 ” 对 话 框 中 选择 被 该 管理 单元 所 管理 的 计算 机 ,然后 单 击 “ 完 成 "按钮 。 关 闭 添加 
管理 单元 的 相关 窗口 ,就 得 到 了 一 个 新 的 管理 工具 ,可 将 其 重 命名 并 保存 。 

此 时 可 以 看 到 Windows Server 2003 系统 自 带 的 安全 策略 : 安全 服务 器 (要 求 安全 设 
置 ) ,客户 端 ( 只 响应 ) ,服务器 (请 求 安 全 设置 )。 用 户 可 以 根据 情况 来 添加 修改 和 删除 相 
应 的 IP 安全 策略 。 

其 中 的 “客户 端 "策略 是 根据 对 方 的 要 求 来 决定 是 否 采 用 IPSec;“ 服 务 器 ”策略 要 求 
支持 IP 安全 机 制 的 客户 端 使 用 IPSec, 但 允许 不 支持 IP 安全 机 制 的 客户 端 来 建立 不 安全 
的 连接 ; 而 “安全 服务 器 "策略 则 最 为 严格 , 它 要 求 双方 必须 使 用 IPSec 协议 。 

不 过 ,“ 安 全 服务 器 ”策略 默认 允许 不 加 密 的 受信 任 的 通信 ,因此 仍然 能 够 被 窃听 。 直 
接 修改 此 策略 或 定制 专门 的 策略 ,就 可 以 实现 有 效 的 防范 。 选 择 其 中 的 “所 有 IP 通信 ” 选 
项 ,在 这 里 可 以 编辑 其 规则 属性 。 

选择 “筛选 器 操作 ?选项 卡 ,选择 其 中 的 “要 求 安全 设置 选项。 


8.4.2 系统 监控 安全 策略 


由 于 软件 系统 的 复杂 性 ,安全 漏洞 问题 会 长 期 存在 。 为 了 能 发 现 利 用 各 种 漏洞 的 入 
侵 行 为 ,除了 对 安全 漏洞 进行 修补 之 外 ,还 要 对 系统 的 运行 状态 进行 实时 监视 。 尤 其 是 在 
有 安全 漏洞 还 没有 得 到 修补 的 时 候 , 这 种 监视 就 显得 尤其 重要 。 


1. 启用 系统 审核 机 制 


系统 审核 机 制 可 以 对 系统 中 的 各 类 事件 进行 跟踪 记录 并 写 入 日志 文件 ,以 供 管理 员 
进行 分 析 ,查找 系统 和 应 用 程序 故障 以 及 各 类 安全 事件 。 所 有 的 操作 系统 .应 用 系统 等 都 
带 有 日 志 功 能 ,因此 可 以 根据 需要 实时 地 将 发 生 在 系统 中 的 事件 记录 下 来 。 同 时 还 可 以 
通过 查看 与 安全 相关 的 日 志文 件 的 内 容 , 发 现 黑客 的 人 侵 行 为 。 

对 安装 Windows Server 2003 系统 的 服务 器 和 工作 站 来 说 ,默认 的 安全 策略 并 不 对 
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安全 事件 进行 审核 。 因 此 需要 用 户 启用 审核 策略 的 安全 设置 。 审 核 策略 设置 可 以 在 “组 
策略 对 象 编辑 器 ”中 的 以 下 位 置 进行 配置 : 计算 机 配置 \Windows 设置 \ 安 全 设置 \ 本 地 策 
略 \ 审 核 策略 。 

如 果 已 经 启用 了 “审核 对 象 访问 "策略 ,那么 就 要 求 必 须 使 用 NTFS 文件 系统 。 
NTFS 文件 系统 不 仅 提供 对 用 户 的 访问 控制 ,而 且 还 可 以 对 用 户 的 访问 操作 进行 审核 。 
但 这 种 审核 功能 ,需要 针对 具体 的 对 象 来 进行 相应 的 配置 。 

首先 在 被 审核 对 象 “安全 ”属性 的 “高 级 ”属性 中 添加 要 审核 的 用 户 和 组 。 在 该 对 话 框 
中 选择 好 要 审核 的 用 户 后 ,就 可 以 设置 对 其 进行 审核 的 事件 和 结果 。 在 所 有 的 审核 策略 
生效 后 ,就 可 以 通过 检查 系统 的 日 志 来 发 现 黑客 的 蛛丝马迹 。 

在 系统 中 启用 安全 审核 策略 后 ,管理 员 应 经 常 查看 安全 日 志 的 记录 ,否则 就 失去 了 及 
时 补救 和 防御 的 时 机 。 


日 志 监 视 


除了 安全 日 志 外 ,管理 员 还 应 注意 检查 各 种 服务 或 应 用 的 日 志文 件 。 例如， 
Windows Server 2003 IIS 6.0 中 ,其 日 志 功 能 默认 已 经 启动 ,并 且 日 志文 件 存放 的 路 径 
认 在 System32/LogFiles 目录 下 。 在 IIS 日 志文 件 中 ,可 以 看 到 对 Web 服务 器 的 HTTP 
请 求 。IIS 6. 0 系统 自 带 的 日 志 功能 从 某 种 程度 上 可 以 成 为 入侵 检测 的 得 力 助手 。 


3. 监视 开放 的 端口 和 连接 


日 志 的 监视 只 能 是 入 侵 事件 发 生 后 的 一 种 监测 手段 ,对 入 侵 事 件 只 能 事后 弥补 ,而 对 
正在 进行 的 入侵 和 破坏 行为 不 能 实时 查看 。 这 时 ,就 需要 管理 员 掌 握 一 些 基本 的 实时 监 
视 技术 。 

通常 黑客 或 病毒 人 侵 系统 后 ,会 在 系统 中 留 下 木马 类 后 门 。 木 马 程序 在 和 外 界 通信 
时 必须 建立 一 个 Socket 会 话 连接 。 这 时 可 用 netstat 命令 进行 会 话 状态 的 检查 ,可 以 查 
看 已 经 打开 的 端口 和 已 经 建立 的 连接 。 当 然 也 可 以 采用 一 些 专用 的 检测 程序 对 端口 和 连 
接 进 行 检 测 。 从 而 发 现 非法 的 网 络 连 接 或 不 明 端口 。 


4. 监视 共享 


通过 共享 来 人 侵 一 个 系统 不 失 为 一 种 方便 的 手段 ,最 简单 的 方法 就 是 利用 系统 隐 含 
的 管理 共享 。 因 此 ,只 要 是 黑客 能 够 扫描 到 的 IP 和 用 户 密码 ,就 可 以 使 用 net use 命令 连 
接 到 共享 上 。 另 外 , 当 浏 览 到 含有 恶意 脚本 的 网 页 时 ,计算 机 的 硬盘 也 可 能 被 共享 ,因此 ， 
监测 本 机 的 共享 连接 是 非常 重要 的 。 

监测 本 机 的 共享 连接 具体 方法 如 下 : 在 Windows Server 2003 系统 中 , 右 击 “我 的 电 
脑 ”, 再 点 击 “ 管 理 ” 命 令 , 打 开 “ 计 算 机 管理 ”工具 。 在 “计算 机 管理 ”窗口 中 展开 “共享 文件 
夹 ”选项 。 单 击 其 中 的 “共享 "选项 ,就 可 以 查看 其 右面 窗口 ,以 检查 是 否 有 新 的 可 疑 共享 ， 
如 果 有 可 疑 共 享 , 就 应 该 立即 删除 。 另 外 ,还 可 以 通过 选择 “会 话 ” 选 项 ,来 查看 连接 到 机 
器 所 有 共享 的 会 话 。 
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5. 监视 进程 和 系统 信息 


对 于 木马 和 远程 监控 程序 ,除了 监视 开放 的 端口 外 ,还 应 通过 任务 管理 器 的 进程 查看 
功能 进行 进程 的 查找 。 在 安装 Windows Server 2003 的 支持 工具 (从 产品 光盘 安装 ) 后 ， 
就 可 以 获得 一 个 进程 查看 工具 Process Viewer。 通 常 ,隐藏 的 进程 寄宿 在 其 他 进程 下 , 因 
此 查看 进程 的 内 存 映 像 也 许 能 发 现 异常 。 现 在 的 木马 越 来 越 难 发 现 , 它 常 常会 把 自己 注 
册 成 一 个 服务 ,从 而 避免 了 在 进程 列表 中 现形 。 因 此 ,还 应 结合 对 系统 中 的 其 他 信息 的 监 
视 , 这 样 就 可 对 系统 信息 中 的 软件 环境 下 的 各 项 进行 相应 的 检查 。 


8.5 Linux 操作 系统 安全 


UNIX 系统 对 计算 机 硬件 的 要 求 比较 高 ,对 于 一 般 的 个 人 来 说 , 想 要 在 PC 上 运行 
UNIX 是 比较 困难 的 。 而 Linux 就 为 一 般 用 户 提供 了 使 用 UNIX 界面 操作 系统 的 机 会 。 
因为 Linux 是 按照 UNIX 风格 设计 的 操作 系统 ,所 以 在 源 代码 级 上 兼容 绝 大 部 分 的 
UNIX 标准 。 可 以 说 相当 多 的 网 络 安全 人 员 在 自己 的 机 器 上 运行 的 都 是 Linux。 


8.5.1 Linux 系统 简介 


Linux 是 一 套 免费 使 用 和 自由 传播 的 类 UNIX 操作 系统 , 它 主 要 用 于 基于 Intel x86 
系列 CPU 的 计算 机 上 。 这 个 系统 是 由 全 世界 各 地 的 成 千 上 万 的 程序 员 设 计 和 实现 的 。 
其 目的 是 建立 不 受 任何 商品 化 软件 的 版 权 制 约 的 .全 世界 都 能 自由 使 用 的 UNIX 兼容 
产品 。 

Linux 的 出 现 , 最 早 开始 于 一 位 名 叫 Linus Torvalds 的 计算 机 业余 爱好 者 ,当时 他 是 
芬兰 赫尔辛基 大 学 的 学 生 。 他 的 目的 是 想 设 计 一 个 代替 Minix( 是 由 一 位 名 叫 Andrew 
Tannebaum 的 计算 机 教授 编写 的 一 个 操作 系统 示 教 程序 ) 的 操作 系统 ,这 个 操作 系统 可 
用 于 386 .486 或 奔腾 处 理 器 的 个 人 计算 机 上 ,并且 具有 Unix 操作 系统 的 全 部 功能 ,因而 
开始 了 Linux 雏形 的 设计 。 

最 近 几 年 ,Linux 的 发 展 和 推广 速度 远 远 高 于 其 他 所 有 操作 系统 ,已 经 在 网 络 服务 器 
领域 占据 了 20% 以 上 的 市 场 份 额 。Linux 具有 与 UNIX 高 度 兼容 .稳定 性 和 可 靠 性 高 、 
源 代码 开放 和 价格 低廉 、 安 全 可 靠 和 绝 无 后 门 等 特点 。 正 是 由 于 Linux 的 源 代码 是 开放 
的 ,从 而 学 习 者 可 以 阅读 到 源 代码 ,有 时 间 的 人 甚至 可 以 了 解 整个 操作 系统 是 怎么 编 的 。 
这 样 在 Linux 下 搞 开 发 与 在 Windows 上 从 事 开 发 就 完全 不 同 , 因为 如 果 用 户 在 
Windows 上 从 事 开 发 ,可 以 很 容易 地 找到 Borland 公司 或 是 微软 公司 的 带 有 友好 图 形 界 
面 的 开发 工具 ,但 用 户 接触 不 到 底层 的 东西 . 弄 不 明白 操作 系统 底层 的 连接 是 如 何 实现 
的 。 而 在 UNIX 上 开发 和 Linux 上 也 不 相同 ,在 UNIX 上 开发 ,用 户 需 要 一 台 Sun 或 
IBM 的 工作 站 ,而 在 Linux 下 开发 ,用 户 只 需 一 台 高 档 的 PC。 此 外 ,Linux 下 有 如 gcc 编 
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译 器 等 很 多 免费 资源 。Linux 极 大 地 降低 了 开发 成 本 ,这 也 是 它 得 以 流行 的 一 个 主要 
原因 。 

Linux 和 Windows NT 比 起 来 技术 上 存在 很 多 优势 。 最 主要 体现 在 3 个 方面 : 一 是 
Linux 更 安全 ,二 是 Linux 更 稳定 ,三 是 Linux 的 硬件 资源 占用 要 比 Windows NT 少 得 
多 。 在 安全 问题 上 ,首先 是 针对 Linux 的 病毒 非常 少 。 经常 遇 到 这 种 现象 ,就 是 运行 
Windows NT 的 服务 器 时 ,每 星期 都 会 由 于 故障 而 重新 启动 一 次 ,而 运行 Linux 的 服务 器 
则 几乎 没有 这 种 情况 。 对 此 ,可 以 认为 Linux 在 稳定 性 上 确实 胜 Windows NT 一筹 。 在 
资源 占用 方面 ,Linux 和 Windows NT 的 差距 超出 了 人 们 的 想象 。 一 台 运 行 Windows 
NT 的 服务 器 可 以 跑 50 个 用 户 ,而 同一 台 服 务 器 如 果 安 装 了 Linux, 则 可 以 跑 1000 个 用 
户 。 由 此 可 见 ,使 用 Windows NT 和 使 用 Linux 的 成 本 差异 实在 是 太 大 了 。 

Red Hat 推出 的 Red Hat Linux Advanced Server 产品 , 它 是 第 一 种 企业 级 Linux 操 
作 系 统 。Red Hat Linux Advanced Server 操作 系统 能 够 保证 大 型 企业 尽快 从 昂贵 的 
UNIX 操作 系统 当中 转移 到 非常 经 济 的 Linux 系统 当中 。 根 据 IDC 公司 的 一 个 分 析 数 
据 ,在 Internet/Intranet/Extranet 环境 中 使 用 Linux 比 起 使 用 Risc/UNIX ,每 个 使 用 者 
成 本 将 下 降 一 半 。 而 在 合作 计算 任务 条 件 下 ,成 本 更 可 以 节省 7 5% 以 上 。 

目前 国内 一 些小 网 站 很 流行 使 用 Linux, 配 合 以 Apache 做 服务 器 软件 ,PHP 做 开发 
工具 ,MySQL 做 数据 库 。 这 种 组 合 对 于 那些 以 省 钱 为 目的 ,其 重要 性 又 无 足 轻重 的 小 网 
站 来 说 ,确实 强 过 目前 微软 的 Windows 2003 十 IIS 十 Exchange Server 十 SQL Server 
组 合 。 


8.5.2 Linux 操作 系统 网 络 安全 


随 着 Internet 网 络 的 发 展 , 越 来 越 多 的 重要 交易 都 会 通过 网 络 完成 。 与 此 同时 数据 
被 损坏 、 截 取 和 修改 的 风险 也 在 增加 ,网 络 变 得 越 来 越 不 安全 。 基 于 Linux 的 系统 也 不 能 
摆脱 这 个 “普遍 规律 而 独善其身 。 因 此 .优秀 的 系统 应 当 拥有 完善 的 安全 措施 ,应 当 足 够 
坚固 、 能 够 抵抗 来 自 Internet 的 侵袭 ,这 正 是 Linux 之 所 以 流行 并 且 成 为 Internet 骨干 力 
量 的 主要 原因 。 


1. Linux 网 络 系统 受到 的 攻击 类 型 


远程 攻击 者 会 用 各 种 方法 冯 和 用户 的 机 器 。 他 们 经 常 寻找 并 利用 现 有 程序 中 的 漏 
洞 ,或 者 其 他 手段 来 进行 非法 访问 。 一 般 的 攻击 类 型 有 以 下 几 种 。 

(1)“ 拒 绝 服务 ?攻击 

所 谓 “ 拒 绝 服务 ”攻击 是 指 黑客 采取 具有 破坏 性 的 方法 阻塞 目标 网 络 的 资源 ,使 网 络 
暂时 或 永久 瘫痪 ,从 而 使 Linux 网 络 服务 器 无 法 为 正常 的 用 户 提 供 服务 。 例 如 黑客 可 以 
利用 伪造 的 源 地 址 或 受 控 的 其 他 地 方 的 多 台 计 算 机 同时 向 目标 计算 机 发 出 大 量 、 连 续 的 
TCP/IP 请 求 , 从 而 使 目标 服务 器 系统 瘫痪 。 

(2)“ 口 令 破解 ”攻击 

口令 安全 是 保卫 自己 系统 安全 的 第 一 道 防 线 。“ 口 令 破 解 ? 攻 击 的 目的 是 破解 用 户 的 


口令 ,从 而 可 以 取得 已 经 加 密 的 信息 资源 。 例 如 黑客 可 以 利用 一 台 高 速 计算 机 ,配合 一 个 
字典 库 , 尝 试 各 种 口令 组 合 ,直到 最 终 找 到 能 够 进入 系统 的 口令 ,打开 网 络 资源 。 

(3)“ 欺 骗 用 户 ? 攻 击 

“欺骗 用 户 ? 攻 击 是 指 网 络 黑客 伪装 成 网 络 公司 或 计算 机 服务 商 的 工程 技术 人 员 ,向 
用 户 发 出 呼叫 ,并 在 适当 的 时 候 要 求 用 户 输入 口令 ,这 是 用 户 最 难 对 付 的 一 种 攻击 方式 ， 
一 旦 用 户口 令 失 密 ,黑客 就 可 以 利用 该 用 户 的 账号 进入 系统 。 

(4)“ 扫 描 程 序 和 网 络 监听 ”攻击 

许多 网 络 人 侵 是 从 扫描 开始 的 ,利用 扫描 工具 黑客 能 找 出 目标 主机 上 各 种 各 样 的 漏 
洞 ,并 利用 漏洞 对 系统 实施 攻击 。 网 络 监听 也 是 黑客 们 常用 的 一 种 方法 ,当成 功 地 登录 到 
一 台 网 络 上 的 主机 ,并 取得 了 这 人 台 主 机 的 超级 用 户 控制 权 之 后 ,黑客 可 以 利用 网 络 监听 收 
集 敏感 数据 或 者 认证 信息 ,以 便 日 后 夺取 网 络 中 其 他 主机 的 控制 权 。 


2. 加 固 Linux 网 络 系统 安全 的 方法 


一 般 来 说 ,Linux 系统 上 运行 的 后 台 服 务 越 多 ,就 可 能 打开 更 多 的 安全 漏洞 ,但 Linux 
组 织 总 是 能 够 快速 地 发 现 这 些 问题 并 发 布 补丁 。 如 果 配 置 的 恰当 的 话 ,Linux 本 身 是 非 
常安 全 可 靠 的 。 如 何 才 能 防止 Linux 系统 因此 类 问题 而 遭受 损失 呢 ? 下 面 介绍 一 些 构造 
安全 的 Linux 系统 的 方法 。 

(1) 关闭 网 络 服务 

作为 一 种 服务 器 软件 , Linux 提供 了 FTP、WWW、 电 子 邮件 等 各 种 各 样 的 服务 。 
Linux 管理 大 多 数 这 类 服务 的 方法 是 通过 一 个 端口 体系 实现 的 ,例如 FTP 的 端口 号 
是 21。 如 果 有 兴趣 的 话 ,可 以 在 /etc/services 文件 找到 一 个 端口 号 和 服务 名 字 的 对 照 清 
单 。 为 了 节约 系统 资源 以 及 简化 系统 管理 ,许多 服务 都 通过 配置 文件 /etc/inetd. conf 控 
制 ,/etc/inetd. conf 文件 告诉 系统 怎样 来 运行 各 个 服务 。 从 尽 可 能 安全 的 角度 来 看 ,它们 
中 的 许多 服务 都 应 该 关闭 。 在 一 般 的 内 部 网 环境 下 ,这 样 的 安全 性 不 会 产生 问题 。 但 是 ， 
对 于 直接 和 Internet 相连 的 Linux 机 器 就 不 能 这 么 认为 了 。 

要 检查 Linux 系统 中 当前 运行 了 哪些 服务 ,输入 命令 : 


netstat -vat 
该 命令 的 输出 如 下 : 


tcp00 *:6000 *: # LISTEN 
tcp00 x*:www *: * LISTEN 
tcp00 *:auth *: x* LISTEN 
tcp00 *:finger *: x* LISTEN 
tcp00 * : shell *: * LISTEN 
tcp 00 x*: Sunrpc * : # LISTEN 


每 一 个 带 有 “LISTEN” 的 行 代表 一 个 正在 等 待 连接 的 服务 。 这 些 服务 中 有 一 部 分 以 
独立 程序 的 形式 运行 ,但 其 中 许多 服务 都 由 /ete/inetd. conf 控制 。 如 果 不 能 肯定 某 个 服 
务 的 具体 情况 ,请 查 一 下 /etc/inetd. conf。 如 果 有 不 需要 的 服务 , 则 可 以 在 /etc/inetd. 
conf 中 关闭 它 。 方 法 是 : 首先 注释 掉 该 行内 容 ( 在 行 的 前 面 加 一 个 # ), 然 后 执行 命令 
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killall -HUP inetd。 这 样 就 立即 关闭 了 服务 ,系统 不 需要 重新 启动 。 

为 了 保证 “inetd. conf” 文 件 的 安全 ,可 以 用 chattr 命令 把 它 设 成 不 可 改变 。 把 文件 设 
成 不 可 改变 的 可 使 用 下 面 的 命令 : [root]# chattr +i /etc/inetd. conf, 这样 可 以 避免 
“inetd. conf” 文 件 的 任何 改变 (意外 或 是 别 的 原因 )。 一 个 有 “i” 属 性 的 文件 是 不 能 改动 
的 : 不 能 删除 或 重 命名 ,不 能 创建 这 个 文件 的 链接 ,不 能 往 这 个 文件 里 写 数据 。 只 有 系统 
管理 员 才 能 设置 和 清除 这 个 属性 。 如 果 要 改变 inetd. conf 文件 ,必须 先 清除 这 个 不 允许 
改变 的 标志 : [root]# chattr -i /etc/inetd. conf 。 

确保 /etc/inetd. conf 的 所 有 者 是 root, 且 文件 权限 设置 为 600。 可 使 用 下 面 的 命令 
来 修改 权限 : [root]# chmod 600 /etc/inetd. conf。 然 后 再 重启 动 inetd: [root]# stat / 
etc/inetd. conf 。 

如 果 某 个 服务 没有 在 /etc/inetd. conf 内 列 出 ,很 有 可 能 它 是 一 个 独立 的 程序 。 独 立 
后 台 程 序 提供 的 服务 可 以 通过 反 安 装 软件 包 删除 。 

(2) 允许 /拒绝 服务 器 

Linux 系统 提供 了 一 个 允许 或 禁止 它们 选择 服务 器 的 机 制 , 通 过 该 机 制 可 以 进一步 
加 强 各 种 服务 的 安全 性 。 例 如 ,用 户 可 能 希望 允许 自己 网 络 的 计算 机 登录 ,但 不 允许 来 自 
Internet 的 计算 机 登录 。/ete/hosts. allow 和 /ete/hosts. deny 这 两 个 文件 列 出 了 服务 器 
和 服务 的 信任 关系 。 

(3) ssh( 安 全 Shell) 

通过 检查 服务 器 名 字 拒 绝 连接 是 一 种 很 好 的 基本 攻击 防范 方法 。 但 这 还 不 够 ,因为 
连接 请 求 中 的 服务 器 名 字 有 可 能 是 伪造 的 。 当 数据 在 Internet 上 的 两 个 程序 之 间 传 输 
时 , 它 同 时 也 处 在 危险 当中 。 任 何 懂得 这 方面 知识 的 人 都 可 以 偷 看 这 些 数 据 ,使 用 一 种 称 
为 “IP 欺骗 ”的 技术 甚至 还 可 以 将 伪造 的 数据 注入 原来 的 数据 当中 。 产 生 这 些 问题 的 原 
因 在 于 Internet 协议 的 作用 方式 。 为 了 解决 这 些 难 题 人 们 设计 出 了 ssh。 

ssh 是 一 个 工具 ,该 工具 最 流行 的 现代 版 可 以 从 openssh 软件 包 获 得 ,而 该 软件 包 几 
乎 存在 于 每 个 Linux 分 发 版 中 。 

ssh 使 用 强加 密 对 客户 机 和 服务 器 之 间 的 所 有 通信 进行 加 密 。 通 过 这 样 做 ,监控 客 
户 机 和 服务 器 之 间 的 通信 就 变 得 困难 (甚至 不 可 能 )。 用 这 样 的 方式 ,ssh 提供 的 服务 正 
如 宣传 的 那样 : 它 是 安全 的 shell。 事实 上 ,ssh 具有 极 好 的 “全 能 ”安全 性 : 即使 认证 ,也 
会 利用 加 密 和 各 种 密 钥 交换 策略 来 确保 用 户 的 密码 不 会 轻易 被 任何 监控 着 网 络 上 传输 数 
据 的 人 截取 。 

(4) 监视 程序 和 运行 日 志 

Linux 为 系统 管理 员 了 解 系统 中 所 发 生 的 事情 提供 了 一 组 精简 的 程序 。 下 面 要 介绍 
的 就 是 有 关上 日 志 记 录 的 工具 。 检 查 一 下 这 些 工 具 是 否 已 经 正确 地 安装 ,以 后 出 现 了 可 疑 
的 和 人 侵 企图 时 就 可 以 查看 日 志文 件 。 记 录 事 件 日 志 的 主要 问题 在 于 记录 的 数据 往往 太 
多 ,因此 设置 好 过 滤 条 件 , 只 记录 关键 信息 是 非常 重要 的 。 

(5) 阻止 ping 请 求 

如 果 Linux 系统 响应 任何 从 外 部 /内 部 来 的 ping 请 求 , 则 会 将 机 器 暴露 在 他 人 的 视 
线 中 ,并 且 为 攻击 者 提供 了 攻击 的 手段 。 因 此 阻止 他 人 ping 通 你 的 机 器 并 收 到 响应 ,可 
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以 大 大 增强 计算 机 的 安全 性 。 要 禁用 和 禁止 响应 ping 命令 只 要 在 /etc/r(c) d/rc. local 
中 增加 一 条 命令 : echo 1 > /proc/sys/netipv4/icmp_echo_ignore_all, 以 使 每 次 启动 后 
自动 运行 。 

提高 系统 安全 性 的 主要 缺点 在 于 , 它 会 降低 系统 的 可 访问 性 ( 易 访 问 性 )。Linux 提 
供 了 大 量 的 安全 工具 ,联合 运用 这 些 工具 应 该 可 以 获得 可 访问 性 和 安全 之 间 的 最 佳 平衡 。 


8.5.3 Linux 操作 系统 安全 命令 


Linux 系统 一 样 是 一 个 多 用 户 的 系统 ,该 系统 地 许多 配置 和 运行 都 是 依靠 命令 来 实 
现 , 下 面 重点 介绍 Linux 系统 安全 的 一 些 命令 。 

(1) passwd 

passwd 命令 原来 修改 账户 的 登录 密码 ,使 用 权限 是 所 有 用 户 。 

它 的 命令 格式 是 : passwd [选项 ] 账 户 名 称 。 

主要 参数 如 下 : 

-1: 锁定 已 经 命名 的 账户 名 称 , 只 有 具备 超级 用 户 权限 的 使 用 者 方 可 使 用 。 

-u: 解 开 账户 锁定 状态 ,只 有 具备 超级 用 户 权限 的 使 用 者 方 可 使 用 。 

-x，--maximum=DAYS: 最 大 密码 使 用 时 间 ( 天 ) ,只 有 具备 超级 用 户 权 限 的 使 用 者 
方 可 使 用 。 

-n,--minimum=DAYS: 最 小 密码 使 用 时 间 ( 天 ), 只 有 具备 超级 用 户 权限 的 使 用 者 
方 可 使 用 。 

-d: 删除 使 用 者 的 密码 ,只 有 具备 超级 用 户 权限 的 使 用 者 方 可 使 用 。 

-S: 检查 指定 使 用 者 的 密码 认证 种 类 ,只 有 具备 超级 用 户 权限 的 使 用 者 方 可 使 用 。 

(2) su 

su 的 作用 是 变更 为 其 他 使 用 者 的 身份 ,超级 用 户 除外 ,需要 键入 该 使 用 者 的 密码 。 

它 的 命令 格式 是 : su [选项 ]... [-] [USER [ARG]...] 

主要 参数 如 下 : 

-f，--fast: 不 必 读 启动 文件 (如 csh. cshrc 等 ) , 仅 用 于 csh 或 tcsh 两 种 Shell。 

-1,，--login: 加 了 这 个 参数 之 后 ,就 好 像 是 重新 登录 为 该 使 用 者 一 样 ,大 部 分 环境 变 
量 (例如 HOME、SHELL 和 USER 等 ) 都 是 以 该 使 用 者 (USER) 为 主 ,并 且 工 作 目 录 也 会 
改变 。 如 果 没 有 指定 USER ,默认 情况 是 root。 

-m，-p,--preserve-environment: 执行 su 时 不 改 变 环境 变数 。 

-c command: 变更 账号 为 USER 的 使 用 者 ,并 执行 指令 (command) 后 再 变 回 原来 使 
用 者 。 

USER: 和 欲 变更 的 使 用 者 账号 ,ARG 传人 新 的 Shell 参数 。 

(3) umask 

umask 设置 用 户 文件 和 目录 的 文件 创建 默认 屏蔽 值 , 若 将 此 命令 放 入 profile 文件 ， 
就 可 控制 该 用 户 后 续 所 建文 件 的 存 取 许 可 。 它 告诉 系统 在 创建 文件 时 不 给 谁 存 取 许 可 。 
使 用 权限 是 所 有 用 户 。 
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它 的 命令 格式 是 : umask [-p] [-S] [mode] 

主要 参数 如 下 : 

-S: 确定 当前 的 umask 设置 。 

-p: 修改 umask 设置 。 

[mode]: 修改 数值 。 

传统 Unix 的 umask 值 是 022, 这 样 就 可 以 防止 同属 于 该 组 的 其 他 用 户 及 别 的 组 的 用 户 
修改 该 用 户 的 文件 。 既 然 每 个 用 户 都 拥有 并 属于 一 个 自己 的 私有 组 ,那么 这 种 “组 保护 模 
式 ? 就 不 再 需要 了 。 严 密 的 权限 设 定 构成 了 Linux 安全 的 基础 ,在 权限 上 犯错 误 是 致命 的 。 
需要 注意 的 是 ,umask 命令 用 来 设置 进程 所 创建 的 文件 的 读 写 权限 ,最 保险 的 值 是 0077, 即 
关闭 创建 文件 的 进程 以 外 的 所 有 进程 的 读 写 权限 ,表示 为 -rw------- 。 在 ~/. bash_profile 
中 ,加 上 一 行 命令 umask 0077 可 以 保证 每 次 启动 Shell 后 ,进程 的 umask 权限 都 可 以 正 


确 设 定 。 

(4) chgrp 

chgrp 表示 修改 一 个 或 多 个 文件 或 目录 所 属 的 组 。 使 用 权限 是 超级 用 户 。 

它 的 命令 格式 是 : chgrp [选项 ]……- 组 文件 …… 或 chgrp [选项 ]…… --reference= 
参考 文件 ……。 将 每 个 去 文件 之 的 所 属 组 设 定 为 二 组 二。 

主要 参数 如 下 : 


-c，--changes: 像 --verbose, 但 只 在 有 更 改 时 才 显 示 结 果 。 

--dereference: 会 影响 符号 链接 所 指示 的 对 象 ,而 非 符 号 链接 本 身 。 

-h,，--no-dereference: 会 影响 符号 链接 本 身 , 而 非 符号 链接 所 指示 的 目的 地 ( 当 系 统 
支持 更 改 符号 链接 的 所 有 者 ,此 选项 才 有 效 ) 。 

-f,， --silent，--quiet: 去 除 大 部 分 的 错误 信息 。 

--reference= 参 考 文件 : 使 用 二 参考 文件 二 的 所 属 组 ,而 非 指定 的 二 组 二 。 

-R, --recursive: 递归 处 理 所 有 的 文件 及 子 目录 。 

-v，--verbose: 处 理 任 何 文件 都 会 显示 信息 。 

该 命令 改变 指定 指定 文件 所 属 的 用 户 组 。 其 中 group 可 以 是 用 户 组 ID ,也 可 以 是 
/etc/group 文件 中 用 户 组 的 组 名 。 文 件 名 是 以 空格 分 开 的 要 改变 属 组 的 文件 列表 ,支持 
通配符 。 如 果 用 户 不 是 该 文件 的 属 主 或 超级 用 户 , 则 不 能 改变 该 文件 的 组 。 例 如 改变 / 
opt/local/book/ 及 其 子 目录 下 的 所 有 文件 的 属 组 为 book, $ chgrp - R book/opt/local/ 
book 。 

(5) chmod 

chmod 命令 是 非常 重要 的 ,用 于 改变 文件 或 目录 的 访问 权限 ,用 户 可 以 用 它 控制 文 
件 或 目录 的 访问 权限 ,使 用 权限 是 超级 用 户 。 

chmod 命令 有 两 种 用 法 。 一 种 是 包含 字母 和 操作 符 表 达 式 的 字符 设 定 法 (相对 权限 
设 定 ); 另 一 种 是 包含 数字 的 数字 设 定 法 (绝对 权限 设 定 )。 这 里 只 介绍 字符 设 定 法 。 

字符 设 定 法 的 命令 格式 是 : chmod [who] [+ - =] [mode] 文 件 名 

主要 参数 如 下 : 

仗 操作 对 象 who 可 以 是 下 述 字母 中 的 任 一 个 或 它们 的 组 合 
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u: 表示 用 户 , 即 文件 或 目录 的 所 有 者 。 

g: 表示 同 组 用 户 , 即 与 文件 属 主 有 相同 组 ID 的 所 有 用 户 。 

o: 表示 其 他 用 户 。 

a: 表示 所 有 用 户 , 它 是 系统 默认 值 。 

全 操作 符号 

+: 添加 某 个 权限 。 

-: 取消 某 个 权限 。 

=: 赋予 给 定 权 限 ,并 取消 其 他 所 有 权限 (如 果 有 的 话 ) 。 

会 设置 mode 的 权限 可 用 下 述 字母 的 任意 组 合 

r: 可 读 。 

w: 可 写 。 

x: 可 执行 。 

X: 只 有 目标 文件 对 某 些 用 户 是 可 执行 的 或 该 目标 文件 是 目录 时 才 追 加 x 属 性 。 

s: 文件 执行 时 把 进程 的 属 主 或 组 ID 置 为 该 文件 的 文件 属 主 。 方 式 "u+s" 设 置 文件 
的 用 户 有 DD 位 ,“g 十 s” 设 置 组 有 DD 位。 

t: 保存 程序 的 文本 到 交换 设备 上 。 

u: 与 文件 属 主 拥有 一 样 的 权限 。 

g: 与 和 文件 属 主 同 组 的 用 户 拥有 一 样 的 权限 。 

o: 与 其 他 用 户 拥 有 一 样 的 权限 。 

文件 名 : 以 空格 分 开 的 要 改变 权限 的 文件 列表 ,支持 通配符 。 

一 个 命令 行 中 可 以 给 出 多 个 权限 方式 ,其 间 用 逗号 隔 开 。 

(6) chown 

chown 命令 的 作用 是 更 改 一 个 或 多 个 文件 或 目录 的 属 主 和 属 组 ,使 用 权限 是 超级 
用 。 

它 的 命令 格式 是 : chown [选项 ] 用 户 或 组 文件 

主要 参数 如 下 : 

--dereference: 受 影响 的 是 符号 链接 所 指示 的 对 象 , 而 非 符号 链接 本 身 。 

-h, --no-dereference: 会 影响 符号 链接 本 身 ,而 非 符 号 链接 所 指示 的 目的 地 ( 当 系统 
支持 更 改 符号 链接 的 所 有 者 ,此 选项 才 有 效 ) 。 

--from 二 目前 所 有 者 : 目前 组 只 当 每 个 文件 的 所 有 者 和 组 符合 选项 所 指定 的 , 才 会 
更 改 所 有 者 和 组 。 其 中 一 个 可 以 省 略 ,这 已 省 略 的 属性 就 不 需要 符合 原 有 的 属性 。 

-f，--silent，--quiet: 去 除 大 部 分 的 错误 信息 。 

-R, --recursive: 递归 处 理 所 有 的 文件 及 子 目录 。 

-v，--verbose: 处 理 任何 文件 都 会 显示 信息 。 

chown 将 指定 文件 的 拥有 者 改 为 指定 的 用 户 或 组 ,用 户 可 以 是 用 户 名 或 用 户 ID; 组 
可 以 是 组 名 或 组 ID; 文件 是 以 空格 分 开 的 要 改变 权限 的 文件 列表 ,支持 通配符 。 系 统管 
理 员 经 常 使 用 chown 命令 ,在 将 文件 复制 到 另 一 个 用 户 的 目录 下 以 后 ,让 用 户 拥 有 使 用 
该 文件 的 权限 。 
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(7) chattr 
chattr 用 于 修改 ext2 和 ext3 文件 系统 属性 (attribute) ,使 用 权限 超级 用 户 。 
它 的 命令 格式 是 : chattr [-RV] [-+=AacDdijsSu] [-v version] 文 件 或 目录 
主要 参数 如 下 : 
-了 R: 递归 处 理 所 有 的 文件 及 子 目 录 。 
-V: 详细 显示 修改 内 容 , 并 打印 输出 。 
-: 失效 属性 
激活 属性 。 

=: 指定 属性 。 

A: Atime, 告 诉 系统 不 要 修改 对 这 个 文件 的 最 后 访问 时 间 。 

S: Sync, 一 旦 应 用 程序 对 这 个 文件 执行 了 写 操作 ,使 系统 立刻 把 修改 的 结果 写 到 
磁盘 。 

a: Append Only, 系 统 只 允许 在 这 个 文件 之 后 追加 数据 ,不 允许 任何 进程 覆盖 或 截断 
这 个 文件 。 如 果 目 录 具 有 这 个 属性 ,系统 将 只 允许 在 这 个 目录 下 建立 和 修改 文件 ,而 不 允 
许 删除 任何 文件 。 

i: Immutable, 系统 不 允许 对 这 个 文件 进行 任何 的 修改 。 如 果 目 录 具 有 这 个 属性 , 那 
么 任何 的 进程 只 能 修改 目录 之 下 的 文件 ,不 允许 建立 和 删除 文件 。 

D: 检查 压缩 文件 中 的 错误 。 

d: No dump ,在 进行 文件 系统 备份 时 ,dump 程序 将 忽略 这 个 文件 。 

C: Compress, 系 统 以 透明 的 方式 压缩 这 个 文件 。 从 这 个 文件 读 取 时 ,返回 的 是 解压 
之 后 的 数据 ; 而 向 这 个 文件 中 写 入 数据 时 ,数据 首先 被 压缩 之 后 才 写 入 磁盘 。 

s: Secure Delete, 让 系统 在 删除 这 个 文件 时 ,使 用 0 填充 文件 所 在 的 区 域 。 

u: Undelete, 当 一 个 应 用 程序 请 求 删除 这 个 文件 ,系统 会 保留 其 数据 块 以 便 以 后 能 
够 恢复 删除 这 个 文件 。 

chattr 命令 的 作用 很 大 ,其 中 一 些 功 能 是 由 Linux 内 核 版 本 来 支持 的 ,如 果 Linux 内 
核 版 本 低 于 2.2, 那 么 许多 功能 不 能 实现 。 同 样 一 D 检查 压缩 文件 中 的 错误 的 功能 ,需要 
2.5.19 以 上 内 核 才 能 支持 。 另 外 ,通过 chattr 命令 修改 属性 能 够 提高 系统 的 安全 性 ,但 
是 它 并 不 适合 所 有 的 目录 。chattr 命令 不 能 保护 /、/dev、/tmp、/var 目录 。 在 Linux 下 ， 
有 些 配置 文件 (passwd',fatab) 是 不 允许 任何 人 修改 的 ,为 了 防止 被 误 删除 或 修改 ,可 以 设 
定 该 文件 的 “不 可 修改 位 (immutable)”: # chattr +i /etc/fstab。 

(8) sudo 

sudo 是 一 种 以 限制 配置 文件 中 的 命令 为 基础 ,在 有 限时 间 内 给 用 户 使 用 ,并 且 记 录 
到 日 志 中 的 命令 ,权限 是 所 有 用 户 。 

它 的 命令 格式 是 : sudo [-bhHpV] [-s] [-u 所 用 户 二 ] [指令 ] 或 者 sudo [-klv] 

主要 参数 如 下 : 

-b: 在 后 台 执 行 命令 。 

-h: 显示 帮助 。 

-H: 将 HOME 环境 变量 设 为 新 身份 的 HOME 环境 变量 。 


中 
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怀 : 结束 密码 的 有 效 期 , 即 下 次 将 需要 输入 密码 。 

-1: 列 出 当前 用 户 可 以 使 用 的 命令 。 

-p: 改变 询问 密码 的 提示 符号 。 

-s: 执行 指定 的 Shell。 

-u 去 用 户 之 : 以 指定 的 用 户 为 新 身份 ,不 使 用 时 默认 为 root。 

-v: 延长 密码 有 效 期 5min。 

sudo 命令 的 配置 在 /etc/sudoers 文件 中 。 当 用 户 使 用 sudo 时 ,需要 输入 口令 以 验证 
使 用 者 身份 。 随 后 的 一 段 时 间 内 可 以 使 用 定义 好 的 命令 , 当 使 用 配置 文件 中 没有 的 命令 
时 ,将 会 有 报警 的 记录 。sudo 是 系统 管理 员 用 来 允许 某 些 用 户 以 root 身份 运行 部 分 /全 
部 系统 命令 的 程序 。 一 个 明显 的 用 途 是 增强 了 站 点 的 安全 性 ,如 果 需 要 每 天 以 超级 用 户 
的 身份 做 一 些 日 常 工作 ,经 常 执 行 一 些 固 定 的 几 个 只 有 超级 用 户 身 份 才 能 执行 的 命令 , 那 
么 用 sudo 是 非常 适合 的 。 

(9) ps 

ps 显示 瞬间 进程 (process) 的 动态 ,使 用 权限 是 所 有 使 用 者 。 

它 的 命令 格式 是 : ps [options] [-help] 

ps 的 参数 非常 多 ,此 出 仅 列 出 几 个 常用 的 参数 ， 

-A: 列 出 所 有 的 进程 。 

-1: 显示 长 列表 。 

-m: 显示 内 存 信息 。 

-w: 显示 加 宽 可 以 显示 较 多 的 信息 。 

-e: 显示 所 有 进程 。 

-a: 显示 终端 上 的 所 有 进程 ,包括 其 他 用 户 的 进程 。 

-au: 显示 较 详细 的 信息 。 

-aux: 显示 所 有 包含 其 他 使 用 者 的 进程 。 

要 对 进程 进行 监测 和 控制 ,首先 要 了 解 当 前 进程 的 情况 ,也 就 是 需要 查看 当前 进程 。 
ps 命令 就 是 最 基本 、 也 是 非常 强大 的 进程 查看 命令 。 使 用 该 命令 可 以 确定 有 哪些 进程 正 
在 运行 运行 的 状态 、 进 程 是 否 结束 、 进 程 有 没有 伪 尸 、 哪 些 进程 占用 了 过 多 的 资源 等 。 大 
部 分 信息 都 可 以 通过 执行 该 命令 得 到 。ps 最 常用 的 三 个 参数 是 u、a、x。 

(10) who 

who 显示 系统 中 有 哪些 用 户 登 录 系 统 ,显示 的 资料 包含 了 使 用 者 ID 、 使 用 的 登录 终 
端 \ 上 线 时 间 、 果 滞 时 间 、CPU 占用 以 及 做 了 些 什 么 。 使 用 权限 为 所 有 用 户 。 

它 的 命令 格式 是 : who - [husfV] [user] 

主要 参数 如 下 : 

-h: 不 要 显示 标题 列 。 

-u: 不 要 显示 使 用 者 的 动作 /工作 。 

-s: 使 用 简短 的 格式 来 显示 。 

-f: 不 要 显示 使 用 者 的 上 线 位 置 。 

-V: 显示 程序 版 本 。 
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该 命令 主要 用 于 查看 当前 在 线 上 的 用 户 情况 。 如 果 用 户 想 和 其 他 用 户 建立 即时 通信 ， 
比如 使 用 talk 命令 ,那么 首先 要 确定 的 就 是 该 用 户 确实 在 线 上 ,不 然 talk 进程 就 无 法 建立 起 
来 。 又 如 ,系统 管理 员 和 希望 监视 每 个 登录 的 用 户 此 时 此 刻 的 所 作 所 为 ,也 要 使 用 who 命令 。 
who 命令 应 用 起 来 非常 简单 ,可 以 比较 准确 地 掌握 用 户 的 情况 ,所 以 使 用 非常 广泛 。 


8.5.4 Linux 系统 安全 漏洞 及 防范 措施 


1. Linux kernel 拒绝 服务 漏洞 


Linux kernel 是 开放 源码 操作 系统 Linux 所 使 用 的 内 核 。 

漏洞 描述 :, Linux Kernel 的 wait_task_stopped() 函数 中 存在 安全 漏洞 ,本 地 攻击 者 
可 能 利用 此 漏洞 导致 服务 器 不 可 用 。Linux Kernel 是 开源 操作 系统 Linux 所 使 用 的 内 
核 。 如 果 本 地 用 户 控制 了 子 进程 的 状态 而 父 进 程 仍 在 等 待 状态 更 改 , 也 就 是 父 进 程 处 于 
wait() 或 waitpid() ,就 会 导致 拒绝 服务 的 情况 。 受 影响 系统 : Linux kernel 二 2. 6. 23. 8， 
不 受 影 响 系统 : Linux kernel 2. 6. 23. 8。 

防范 措施 : 目前 厂商 已 经 发 布 了 升级 补丁 以 修复 这 个 安全 问题 ,请 到 厂商 的 主页 下 
载 : http: //www kernel. org/。 


2. Linux kernel capiutil. c 缓冲 区 溢出 漏洞 


漏洞 描述 : Linux kernel 的 capiutil. c 文件 中 libcapi 库 所 使 用 的 bufprint 函数 中 存 
在 缓冲 区 溢出 漏洞 ,本 地 用 户 可 以 通过 发 送 特 制 的 CAPI 报 文 来 触发 这 个 漏洞 ,导致 拒绝 
服务 或 执行 任意 指令 。 受 影响 系统 : Linux kernel 2. 6. 9-2. 6. 20。 

防范 措施 : 目前 厂商 还 没有 提供 补丁 或 者 升级 程序 ,建议 使 用 此 软件 的 用 户 随时 关 
注 厂商 的 主页 以 获取 最 新 版 本 : http: //www. kernel. org/。 


3. Linux kernel ptrace 提升 权限 漏洞 


漏洞 描述 : Linux kernel 的 某 些 版 本 在 处 理 ptrace 时 存在 一 些 实现 上 的 漏洞 。 本 地 
用 户 可 能 非法 提升 权限 ,比如 获取 root 权限 。 问 题 在 于 当 一 个 进程 被 ptrace 跟踪 后 ,如 
果 它 再 启动 某 个 setuid 程序 时 ,系统 仍然 认为 它 是 一 个 被 跟踪 的 进程 。 这 可 能 导致 普通 
用 户 的 进程 可 以 修改 特权 进程 的 执行 流程 ,从 而 提升 权限 。 受 影响 的 系统 : Linux kernel 
2. 2. x,x<=19; Linux kernel 2. 4. y,y<=9。 

防范 措施 : Linux kernel 2. 4. 12 已 经 解决 了 这 一 问题 ,可 以 在 厂商 主页 下 载 最 新 升 
级 版 本 : http: //www. kernel. org/。 注 意 升 级 到 新 版 本 需要 重新 编译 并 替换 原 有 内 核 ， 
并 重新 启动 系统 才能 生效 。 


4. Linux kernel 深层 链接 拒绝 服务 漏洞 


漏洞 描述 : Linux kernel 的 某 些 版 本 中 存在 一 个 漏洞 , 当 处 理 一 个 深层 链接 的 目录 
时 ,将 消耗 大 量 的 CPU 时 间 ,其 他 进程 将 无 法 继续 运行 。 这 可 能 允许 本 地 攻击 者 进行 拒绝 
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服务 攻击 。 受 影响 的 系统 : Linux kernel 2. 2. x,x<=19; Linux kernel 2. 4. y,y<=9。 
防范 措施 : 在 厂商 主页 下 载 安 装 最 新 的 补丁 : http: //www. kernel. org/ 。 


5. Linux kernel 2.4 iptables MAC 地 址 匹配 绕 过 漏洞 


漏洞 描述 : Linux 2. 4 内 核 中 包含 一 个 新 的 功能 强大 的 防火 墙 体系 一 一 Netfilter, 它 
的 主要 组 件 是 iptables。iptables 中 包含 了 一 个 扩展 模块 MAC, 它 可 以 基于 MAC 地 址 来 
匹配 经 过 防火 墙 的 报 文 。 这 个 模块 主要 是 用 来 防止 恶意 的 内 部 用 户 通过 修改 IP 地 址 进 
行 欺骗 攻击 。 然 而 , MAC 模块 没有 正确 匹配 长 度 很 小 的 报 文 ,例如 4 个 字 节 的 ICMP 或 
者 UDP 报 文 。 这 使 得 内 部 攻击 者 可 能 利用 这 一 漏洞 来 探测 受 iptables 保护 的 主机 是 否 
存活 。 受 影响 的 系统 : Linux kernel 2. 4。 

防范 措施 : 在 厂商 主页 下 载 安 装 最 新 的 补丁 包 : http: //www. kernel. org/。 


6. Linux kernel 处 理 64 位 ELF 头 代 码 内 存 泄露 漏洞 


漏洞 描述 : Linux kernel 在 64 位 x86 平 台 上 处 理 ELF 头 的 函数 产生 内 存 泄露 ,本 地 
攻击 者 一 旦 成 功 触发 此 漏洞 可 以 导致 本 地 拒绝 服务 攻击 。 受 影响 系统 : Linux kernel 
2. 6. 1-2. 6. 13。 

防范 措施 : 升级 到 Linux kernel version 2. 6. 13 -rc4 可 以 解决 此 问题 。 


7. Linux kernel 共享 内 存 绕 过 安全 限制 漏洞 


漏洞 描述 : Linux kernel 实现 上 存在 漏洞 ,允许 本 地 用 户 绕 过 IPC 权限 控制 ,可 能 导 
致 内 存 信息 泄露 。 通 过 使 用 mprotect 可 以 获得 以 只 读 方式 attach 的 共享 内 存 的 写 权 限 。 
受 影响 系统 : Linux kernel < 2. 6. 16 和 Linux kernel 2. 4. x 等 。 

防范 措施 : 目前 厂商 已 经 发 布 了 升级 补丁 以 修复 这 个 安全 问题 ,请 到 厂商 的 主页 下 
载 : http://www. kernel. org/pub/linux/kernel/v2. 6/patch-2. 6. 16. 7. bz2。 


8. Linux kernel PRCTL Core Dump 处 理 本 地 权限 提升 漏洞 


漏洞 描述 : Linux kernel 的 prctl() 调 用 在 处 理 Core Dump 时 存在 漏洞 ,本 地 攻击 者 
可 能 利用 此 漏洞 提升 自己 的 权限 。prctl( ) 调 用 允许 未 授权 进程 设置 PR_SET_ 
DUMPABLE=2, 因 此 当 发 生 段 错误 时 产生 的 core 文件 将 被 root 用 户 拥有 。 本 地 用 户 
可 以 创建 恶意 程序 ,将 core 文件 dump 到 正常 情况 下 无 权 写 入 的 目录 中 。 这 可 能 导致 拒 
绝 服务 (磁盘 耗 尽 ) 或 获得 root 权限 。 受 影响 系统 : Linux kernel 2. 6. 13-2. 6. 17。 

防范 措施 : 如 果 您 不 能 立刻 安装 补丁 或 者 升级 ,建议 您 采取 以 下 措施 以 降低 威胁 : 
通过 将 生成 的 core 文件 设 定 在 指定 目录 中 ,可 以 减少 此 漏洞 带 来 的 风险 ,例如 以 root 身 
份 执行 如 下 操作 

echo /tmp/core > /proc/sys/kernel/core patter 


echo 0 > /proc/sys/kernel/core uses pid 
echo 0 > /proc/sys/fs/suid dumpable 


这 将 只 允许 普通 用 户 在 运行 非 suid 程序 时 ,在 /tmp 下 生成 唯一 的 core 文 件 ,避免 了 
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磁盘 DOS 以 及 特权 提升 。 为 了 使 得 上 述 操 作 在 系统 重启 后 也 生效 ,建议 将 其 放 入 系统 启 
动 脚本 (例如 /etc/re. locab) 中 。 目 前 厂商 已 经 发 布 了 升级 补丁 以 修复 这 个 安全 问题 ,请 到 厂 
商 的 主页 下 载 : http://kernel. org/pub/linux/kernel/v2. 6/linux-2. 6. 17. 4. tar. bz2 。 


习题 


.网 络 操作 系统 安全 主要 存在 哪些 问题 ? 

.Windows Server 2003 的 安全 特性 主要 体现 在 什么 方面 ? 请 简单 叙述 。 
.Windows Server 2003 基本 安全 设置 包含 哪些 方面 ? 

. 怎样 删除 默认 共享 ? 

. 如何 禁用 IPC 连接 。 

简 述 添加 站 点 到 “信任 区 域 " 的 具体 做 法 。 

.Windows Server 2003 IIS 存在 的 漏洞 是 什么 ”如 何 检测 和 解决 ? 
.Windows Server 2003 DNS 服务 器 漏洞 是 什么 ? 具体 解决 办 法 是 什么 ? 
.Windows Server 2003 的 账户 保护 安全 策略 有 哪些 ? 

10. 攻击 Linux 操作 系统 的 方式 有 哪些 ? 

11. 试 举例 说 明 加 固 Linux 系统 网 络 安全 的 一 种 方法 。 

12. Linux 系统 安全 命令 主要 有 哪些 ? 试 说 明 其 作用 。 

13. 简 述 执行 #chattr +i /etc/fstab 命令 后 会 产生 什么 样 的 后 果 。 

14. 请 使 用 PS 命令 显示 指定 进程 name 的 所 有 信息 。 

15. 请 简 述 当前 流行 的 Linux 有 哪些 ? 


OCPDLr- 


曾经 使 用 过 计算 机 的 人 ,几乎 都 受到 过 无 处 不 在 的 计算 机 病毒 的 骚扰 ,让 人 不 胜 其 
烦 。 因 此 对 于 使 用 计算 机 的 工作 者 来 说 ,对 待 病毒 绝 不 能 麻 兽 大 意 ,否则 就 有 可 能 造成 无 
法 挽回 的 损失 。 计 算 机 病毒 的 人 侵 常 常 是 在 不 知 不 觉 中 进行 的 , 稍 不 留意 就 可 能 感染 , 因 
此 做 好 防范 工作 是 至 关 重 要 的 。 要 想 很 好 地 解决 计算 机 病毒 ,我 们 就 必须 先 了 解 它 的 工 
作 原 理 、 传 播 途径 、 表 现形 式 , 同 时 必须 掌握 它 的 检测 、 预 防 和 清除 方法 。 在 计算 机 病毒 技 
术 飞 速 发 展 的 今天 ,我 们 也 必须 不 断 更 新 关于 计算 机 病毒 的 相关 理论 和 知识 技术 。 


9.1 计算 机 病毒 概述 


随 着 信息 化 社会 的 发 展 和 社会 生产 信息 化 的 深入 ,以 及 信息 化 对 社会 生活 影响 的 不 
断 加 深 ,人 们 的 活动 越 来 越 依赖 于 各 类 计算 机 和 各 种 计算 机 网 络 。 然 而 随 着 计算 机 病毒 
技术 的 发 展 和 日 益 成 熟 ,由 其 造成 的 计算 机 崩 湿 、 重 要 数据 破坏 和 丢失 ,给 社会 财富 带 来 
了 巨大 浪费 。 那 么 ,计算 机 病毒 到 底 是 什么 样子 , 它 是 怎么 出 现 的 呢 ? 我 们 必须 对 计算 机 
病毒 的 产生 发展 .结构 和 主要 特征 等 有 一 个 清楚 的 认识 。 只 有 了 解 了 它们 ,我 们 才能 更 
好 地 防治 。 


9.1.1 计算 机 病毒 的 概念 


计算 机 病毒 的 概念 是 由 美国 计算 机 研究 专家 最 早 提出 来 的 。 与 生物 病毒 相 类 似 , 计 
算 机 病毒 有 独特 的 感染 性 ,可 以 很 快 地 草 延 ,又 常常 难以 根除 。 它 们 能 把 自身 附着 在 各 种 
类 型 的 文件 上 , 当 文件 被 复制 或 从 一 个 用 户 传送 到 另 一 个 用 户 时 ,它们 就 随同 文件 一 起 蔓 
延 开 来 。 当 你 看 到 计算 机 病毒 似乎 表现 在 文字 和 图 像 上 时 ,它们 可 能 已 毁坏 了 文件 、 修 改 
了 数据 \ 格 式 化 了 磁盘 甚至 引发 了 其 他 类 型 的 灾害 。 还 有 一 些 病毒 并 不 寄生 于 一 个 感染 
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程序 ,但 它 仍然 可 以 通过 占据 存储 空间 为 你 带 来 麻烦 ,并 降低 计算 机 的 各 种 性 能 。 

随 着 计算 机 病毒 技术 的 不 断 发 展 , 人 们 对 它 有 了 清楚 的 认识 ,许多 专家 和 研究 者 从 不 
同 角度 描述 了 它 。 例 如 : 有 些 人 认为 计算 机 病毒 是 指 通过 磁盘 、 磁 带 和 网 络 等 作为 媒介 
传播 扩散 ,能 “感染 ”其 他 程序 的 程序 ; 有 人 认为 它 是 能 够 实现 自身 复制 且 借 助 一 定 的 载 
体 存 在 的 具有 潜伏 性 、 传 染 性 和 破坏 性 的 程序 ; 还 有 的 人 认为 它 是 一 种 人 为 制造 的 程序 ， 
通过 不 同 的 途径 潜伏 或 寄生 在 存储 媒体 (如 磁盘 、 内 存 ) 或 程序 里 , 当 某 种 条 件 或 时 机 成 熟 
时 , 它 会 自动 复制 自己 并 传播 ,使 计算 机 的 资源 受到 不 同 程度 的 破坏 。 由 于 人 们 从 不 同 的 
角度 来 认识 它 , 因 此 长 久 以 来 在 我 国 一 直 没有 公认 的 明确 定义 。 直 至 1994 年 2 月 18 日 ， 
我 国正 式 颁布 实施 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》, 在 《条例 ) 第 二 十 
八条 中 明确 将 计算 机 病毒 定义 为 : 计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 
计算 机 功能 或 者 毁坏 数据 、 影 响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 
代码 。 


9.1.2 计算 机 病毒 的 发 展 历史 


早 在 1949 年 ,距离 第 一 部 商用 计算 机 的 出 现 还 有 好 几 年 时 ,计算 机 的 先驱 者 冯 … 诺 
依 曼 在 他 的 一 篇 论文 (复杂 自动 机 组 织 论 ), 提 出 了 计算 机 程序 能 够 在 内 存 中 自我 复制 , 即 
已 把 病毒 程序 的 蓝图 勾勒 出 来 。 在 当时 ,大 多 数 的 人 们 认为 计算 机 程序 的 自我 复制 是 无 
法 实现 的 。 但 20 世纪 60 年 代 初 , 在 美国 电话 电报 公司 (AT&T) 的 贝尔 实验 室 中 ,3 个 年 
轻 程 序 员 道格拉斯 。 麦 泡菜 .维特 。 维 索 斯 基 和 罗 伯 “。 英里 斯 设计 了 一 种 电子 游戏 叫做 
“ 磁 芯 大 战 (Core War)”, 游 戏 中 通过 复制 自身 来 摆脱 对 方 的 控制 。 该 游戏 实现 了 程序 的 
自我 复制 ,而 它 成 了 计算 机 病毒 的 祖先 。 

1977 年 ,美国 科普 作家 托马斯 。 捷 。 瑞安 在 科幻 小 说 4P-1 的 青春 ) 中 ,构思 了 一 种 能 
够 自我 复制 ,利用 信息 通道 传播 的 计算 机 程序 ,并 称 之 为 计算 机 病毒 。 它 可 以 从 一 台 计 算 
机 传染 到 另 一 台 计算 机 ,最 终 控制 了 数 千 台 计算 机 。 这 是 人 类 第 一 次 幻想 出 来 的 计算 机 
病毒 , 它 为 计算 机 病毒 的 出 现 起 到 了 促进 的 作用 。 

1983 年 11 月 3 日 , 弗 雷 德 . 科恩 博士 研制 出 一 种 在 运行 过 程 中 可 以 复制 自身 的 破 
坏 性 程序 , 伦 . 艾 德 勤 曼 将 它 命名 为 计算 机 病毒 ,并 在 每 周一 次 的 计算 机 安全 讨论 会 上 正 
式 提 出 ,8 小 时 后 专家 们 在 VAX11/750 计算 机 系统 上 运行 ,第 一 个 病毒 实验 成 功 ,一 周 后 
又 获准 进行 5 个 实验 的 演示 ,从 而 在 实验 上 验证 了 计算 机 病毒 的 存在 。 

1985 年 3 月 ,在 该 月 (科学 美国 人 ) 月 刊 里 , 杜 特 尼 再 次 讨论 “Core War” 和 计算 机 病 
毒 ,在 该 文章 中 第 一 次 提 到 “计算 机 病毒 "这 个 名 称 。 他 说 :“ 意 大 利 的 罗 孝 叶 。 吹 鲁 帝 
和 马 高 。 英 鲁 顾 帝 发 明了 一 种 破坏 软件 的 方法 。 他 们 想 用 计算 机 病毒 来 使 计算 机 受 
到 感染 ”。 

1987 年 10 月 ,在 美国 ,世界 上 第 一 例 计算 机 病毒 (Brian) 被 发 现 ,这 是 一 种 系统 引导 
型 病毒 。 它 以 强劲 的 势头 蔓延 开 来 。 世 界 各 地 的 计算 机 用 户 几 乎 同时 发 现 了 形形色色 的 
计算 机 病毒 ,如 大 麻 、IBM 圣诞 树 、 黑 色 星 期 五 等 。 

1988 年 11 月 3 日 ,美国 康 奈 尔 大 学 23 岁 的 研究 生 罗伯特 .英里 斯 将 一 种 苹果 机 的 
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计算 机 病毒 蠕虫 投放 到 网 络 中 ,结果 使 美国 6000 台 计算 机 被 病毒 感染 ,导致 Internet 不 
能 正常 运行 ,造成 计算 机 系统 直接 经 济 损失 达 9600 万 美元 。 这 是 一 次 非常 典型 的 计算 机 
病毒 人 侵 计 算 机 网 络 的 事件 .引起 了 世界 范围 的 秘 动 。 

1991 年 ,在 “海湾 战争 "中 ,美军 第 一 次 将 计算 机 病毒 用 于 战争 ,在 空袭 巴格达 的 战斗 
中 ,成 功 地 破坏 了 对 方 的 指挥 系统 ,使 之 次 痰 ,保证 了 战斗 顺利 进行 ,直至 最 后 胜利 。 

1995 年 8 月 9 日 ,在 美国 发 现 第 一 个 宏 病毒 Concept。Concept 的 出 现 , 带 来 了 一 个 
全 新 的 概念 : 那 就 是 病毒 可 以 感染 文档 文件 。 程 序 员 利用 了 功能 强大 的 宏 语 言 ,编制 了 
各 色 各 样 的 宏 病 毒 。 宏 病毒 的 简单 易学 性 ,使 得 宏 病 毒 很 快 成 为 全 球 发 展 最 快 的 病毒 。 
目前 ,在 每 年 出 现 的 新 病毒 中 ,大 部 分 是 宏 病 毒 。 

1998 年 ,世界 上 首 例 破坏 计算 机 硬件 的 CIH 病毒 出 现 ,引起 了 人 们 的 恐慌 。1999 年 
4 月 26 日 ,CIH 病毒 在 我 国 大 规模 爆发 ,造成 了 巨大 的 损失 。 

2003 年 ,以 “冲击 波 ” 病 毒 为 代表 ,出 现 了 以 利用 系统 或 应 用 程序 漏洞 进行 感染 的 计 
算 机 病毒 。 这 些 病毒 的 出 现 为 人 类 带 来 了 不 可 估量 的 损失 。 

新 世纪 是 计算 机 病毒 迅猛 发 展 的 时 代 。 随 着 计算 机 病毒 技术 的 不 断 进步 ,各 种 新 型 
病毒 层出不穷 ,而 智能 化 .人 性 化 ` 隐 项 化 .多样 化 也 正在 逐渐 成 为 计算 机 病毒 发 展 的 新 
趋势 。 


9.1.3 计算 机 病毒 的 分 类 


随 着 计算 机 病毒 的 发 展 , 究 竞 现在 有 多 少 种 病毒 ,人 们 已 经 很 难 进 行 准确 的 统计 。 各 
种 病毒 的 特性 也 不 尽 相同 。 因 此 ,计算 机 病毒 的 分 类 方法 多 种 多 样 , 即 使 同一 种 病毒 也 可 
能 有 多 种 不 同 的 分 法 。 有 的 从 病毒 破坏 力 的 大 小 来 分 ; 有 的 从 计算 机 病毒 的 传染 途径 来 
分 ; 有 的 从 病毒 的 寄生 方式 来 分 ; 有 的 从 病毒 的 攻击 行为 来 分 ; 等 等 。 根 据 Symantec 等 
公司 多 年 对 计算 机 病毒 的 研究 和 总 结 ,以 及 当前 计算 机 病毒 的 新 发 展 ,这 里 将 可 识别 的 计 
算 机 病毒 分 为 以 下 7 类 : 引导 区 病毒 .文件 型 病毒 ,混合 型 病毒 、 宏 病毒 、 蠕 虫 病毒 、 特 洛 
伊 病毒 和 脚本 病毒 。 


1. 引导 区 病毒 


引导 区 病毒 主要 是 利用 操作 系统 的 引导 模块 放 在 某 个 固定 的 位 置 ,并 且 控 制 权 的 转 
交 方 式 是 以 物理 位 置 为 依据 ,而 不 是 以 操作 系统 引导 区 的 内 容 为 依据 ,因而 病毒 占据 该 物 
理 位 置 即 可 获得 控制 权 , 而 将 真正 的 引导 区 内 容 搬 家 转移 或 替换 , 待 病毒 程序 执行 后 ,将 
控制 权 交 给 真正 的 引导 区 内 容 , 使 得 这 个 带 病毒 的 系统 看 似 正常 运转 ,而 病毒 已 隐藏 在 系 
统 中 并 伺机 传染 ,发作 。 这 种 病毒 在 运行 一 开始 就 能 获得 控制 权 , 其 传染 性 较 大 。 典 型 的 
病毒 有 大 麻 (Stoned) 、2708 .INT60、Brain .小 球 病毒 等 。 


2. 文件 型 病毒 


文件 型 病毒 是 文件 感染 者 ,也 称 为 寄生 病毒 。 它 运行 在 计算 机 存储 器 中 ,通常 感染 扩 
展 名 为 COM、EXE、BAT 等 类 型 的 可 执行 代码 文件 。 但 是 ,也 有 些 会 感染 其 他 可 执行 文 
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件 , 如 DLL、SCR 等 。 当 受 感染 的 程序 从 软盘 、 硬 盘 或 网 络 上 运行 时 电脑 病毒 便 会 发 作 。 
电脑 病毒 会 将 自己 复制 到 其 他 可 执行 文件 ,并 且 继 续 执 行 原 有 的 程序 ,以 免 被 用 户 所 察 
觉 。 这 些 病毒 中 有 许多 是 内 存 驻 留 型 病毒 ,内 存 受 到 感染 之 后 ,运行 的 任何 未 感染 的 可 执 
行文 件 都 会 受到 感染 。 在 各 种 计算 机 病毒 中 ,文件 型 病毒 占 的 数目 最 大 ,传播 最 广 ,采用 
的 技巧 也 多 。 已 知 的 文件 传染 源 病毒 包括 Die_Hard、CIH、HPS、Murburg、Cascade 等 。 


3. 混合 型 病毒 


混合 型 病毒 是 多 种 类 型 病毒 的 混合 。 混 合 型 病毒 的 目的 是 为 了 综合 利用 以 上 2 种 病 
毒 的 传染 渠道 进行 破坏 。 混 合 型 病毒 不 仅 传染 可 执行 文件 而 且 还 传染 硬盘 引导 区 。 被 这 
种 病毒 传染 的 系统 有 时 用 Format 命令 格式 化 硬盘 都 不 能 消除 病毒 。 如 果 要 清除 该 类 病 
毒 ,必须 同时 清除 引导 区 和 文件 ,因为 如 果 只 清除 其 中 一 项 , 则 另 一 项 仍 会 被 感染 。 典 型 
的 混合 型 病毒 有 One_half、Casper、Natas、Emperor、Anthrax、Flip 等 。 


4. 宏 病毒 


宏 病 毒 专门 针对 特定 的 应 用 软件 ,可 感染 依附 于 某 些 应 用 软件 内 的 宏 指 令 , 它 可 以 很 
容易 通过 电子 邮件 附件 、 软 盘 、 文 件 下 载 和 群 组 软件 等 多 种 方式 进行 传播 。 如 Word、 
Excel 和 Access、PowerPoint、Project 等 办 公 自动 化 程序 编制 的 文档 进行 传染 ,不 会 传染 
给 可 执行 文件 。 宏 病毒 采用 程序 语言 撰写 ,例如 Visual Basic 或 CorelDraw, 而 这 些 又 是 
易于 掌握 的 程序 语言 。 宏 病毒 最 先 在 1995 年 被 发 现 ,在 不 久 后 已 成 为 最 普遍 的 电脑 病 
毒 。 在 我 国 流行 的 宏 病 毒 有 : TaiWanl、Concept、Simple2、Macro. Melissa( 美 丽 莎 )、 
WM. NiceDay、W97M. Groov 等 。 


5. 蠕虫 病毒 


蠕虫 病毒 是 一 种 能 自行 复制 和 经 由 网 络 扩 散 的 程序 ,以 尽量 多 复制 自身 ( 像 虫 子 一 样 
大 量 繁 殖 ) 而 得 名 。 蠕 虫 病毒 主要 的 破坏 方式 为 : 尽 可 能 多 感染 电脑 和 占用 系统 、 网 络 资 
源 , 造 成 PC 和 服务 器 负荷 过 重 而 死机 ,并 使 系统 内 数据 混乱 。 蠕 虫 病毒 传染 途径 是 通过 
网 络 和 电子 邮件 ,例如 把 自己 隐藏 于 邮件 附件 中 ,并 于 短 时 间 内 发 送 给 多 个 用 户 。 危 害 很 
大 的 “ 尼 姆 达 ” 病 毒 就 是 蠕虫 病毒 的 一 种 。 这 一 病毒 利用 了 微软 视窗 操作 系统 的 漏洞 。 计 
算 机 感染 这 一 病毒 后 ,会 不 断 自动 拨号 上 网 ,并 利用 文件 中 的 地 址 信息 或 者 网 络 共享 进行 
传播 ,最 终 破 坏 用 户 的 大 部 分 重要 数据 。 最 著名 的 蠕虫 病毒 有 “红色 代码 ”“ 爱 虫 ”“ 尼 姆 

6. 特洛伊 病毒 


侍 洛 伊 病毒 也 叫 木 马 病毒 , 源 自 古 希 腊 特 洛 伊 战 争 中 著名 的 “木马 计 ” 而 得 名 , 顾 名 思 
义 就 是 一 种 伪装 潜伏 的 网 络 病毒 ,等 待 时 机 成 熟 就 出 来 进行 破坏 。 一 般 此 种 病毒 分 成 服 
务 器 端 和 客户 端 两 种 。 木 马 病毒 的 发 作 要 在 用 户 的 机 器 里 运行 客户 端 程序 ,一旦 发 作 ,就 
会 修改 注册 表 、 驻 留 内 存 、 在 系统 中 安装 后 门 程序 、 开 机 加 载 附带 的 木马 ,定时 地 发 送 该 用 
户 的 隐私 到 木马 程序 指定 的 地 址 ,一 般 同 时 内 置 可 进入 该 用 户 电脑 的 端口 ,并 可 任意 控制 
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此 计算 机 ,进行 文件 删除 、 复 制 、 改 密码 等 非法 操作 。 此 类 奥 型 病毒 有 网络 天 宰 "“ 灰 久 
子 "等 


7. 脚本 病毒 


脚本 病毒 的 公有 特性 是 使 用 脚本 语言 编写 ,通过 网 页 进行 传播 的 病毒 。 脚 本 病毒 依 
赖 一 种 特殊 的 脚本 语言 (如 : VBScript、JavaScript 等 ) 起 作用 ,同时 需要 主 软件 或 应 用 环 
境 能 够 正确 识别 和 翻译 这 种 脚本 语言 中 嵌 套 的 命令 。 脚 本 病毒 可 以 在 多 个 产品 环境 中 进 
行 ,还 能 在 其 他 所 有 可 以 识别 和 翻译 它 的 产品 中 运行 。 脚 本 语言 比 宏 语言 更 具有 开放 终 
端的 趋势 ,这 样 使 得 病毒 制造 者 对 感染 脚本 病毒 的 机 器 可 以 有 更 多 的 控制 力 。 典 型 的 脚 
本 病毒 有 “Script. Redlof”“ 新 欢乐 时 光 ”%QQ 尾巴 "等 。 


9.1.4 计算 机 病毒 的 特征 


计算 机 病毒 本 身 也 是 一 段 或 一 个 人 为 编写 的 计算 机 程序 ,只 是 该 程序 是 未 经 用 户 允 
许 而 执行 的 ,用 来 破坏 计算 机 系统 或 影响 计算 机 系统 正常 运行 的 * 恶 行 ” 代 码 。 从 计算 机 
病毒 的 本 质 来 看 , 它 具 有 以 下 几 个 明显 的 特征 。 

(1) 非法 执行 性 

通常 用 户 调用 执行 一 个 程序 时 ,系统 会 把 控制 权 交 给 这 个 程序 ,并 分 配给 它 相 应 的 系 
统 资源 ,从 而 使 之 完成 用 户 的 需求 。 虽 然 计算 机 病毒 是 非法 程序 ,但 由 于 计算 机 病毒 具有 
正常 程序 的 一 切 特性 ,所 以 当 计 算 机 病毒 隐藏 在 合法 的 程序 或 数据 中 运行 时 ,病毒 便 会 伺 
机 窃取 到 系统 的 控制 权 , 并 得 以 抢先 运行 。 

(2) 传染 性 

计算 机 病毒 是 一 段 人 为 编制 的 计算 机 程序 代码 ,这 有 段 程序 代码 一 旦 进入 计算 机 并 得 
以 执行 , 它 会 搜索 其 他 符合 其 传染 条 件 的 程序 或 存储 介质 ,确定 目标 后 再 将 自身 代码 插入 
其 中 ,达到 自我 繁殖 的 目的 。 只 要 一 台 计 算 机 染 毒 ,如 不 及 时 处 理 , 那 么 计算 机 病毒 会 通 
过 各 种 渠道 从 已 被 感染 的 计算 机 迅速 扩散 到 未 被 感染 的 计算 机 。 而 被 感染 的 计算 机 又 成 
了 新 的 传染 源 , 再 与 其 他 机 器 进行 数据 交换 或 通过 网 络 接 触 ,病毒 会 继续 进行 传染 。 传 染 
性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 

(3) 潜伏 性 

计算 机 病毒 具有 依附 于 其 他 程序 的 能 力 , 即 寄生 能 力 ,通常 用 于 寄生 计算 机 病毒 的 程 
序 称 为 计算 机 病毒 的 宿主 。 依 靠 寄 生 能 力 , 大 部 分 病毒 感染 正常 程序 之 后 一 般 不 会 马上 
发 作 ,而 是 隐藏 一 段 时 间 后 ,在 满足 特定 条 件 时 才 启动 破坏 模块 。 这 样 病毒 的 潜伏 性 越 隐 
蔽 ,其 存在 时 间 就 越 长 ,破坏 就 越 大 。 如 著名 的 “黑色 星期 五 ”在 着 13 日 的 星期 五 发 作 。 
最 令 人 难忘 的 便 是 4 月 26 日 发 作 的 CIH。 

(4) 可 触发 性 

触发 性 是 指 计算 机 病毒 的 发 作 一 般 都 有 一 个 或 几 个 激发 条 件 。 这 个 条 件 根 据 病毒 作 
者 的 要 求 可 以 是 日 期 \ 时 间 、 特 定 程序 的 运行 或 程序 的 运行 次 数 等 。 当 满足 该 触发 条 件 后 
计算 机 病毒 便 会 开始 发 作 。 
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(5) 破坏 性 

任何 病毒 只 要 侵入 系统 ,都 会 对 系统 及 应 用 程序 产生 不 同 程度 的 影响 。 轻 者 会 降低 
计算 机 工作 效率 ,占用 系统 资源 ; 重 者 删除 文件 .数据 ,摧毁 整个 系统 ,甚至 破坏 计算 机 硬 
件 。 根 据 该 特性 可 将 病毒 分 为 良性 病毒 与 恶性 病毒 。 良 性 病毒 可 能 只 显示 些 画 面 或 播 出 
点 音乐 ,无聊 的 语句 ,或 者 根本 没有 任何 破坏 动作 ,只 是 占用 一 些 系 统 资源 。 这 类 病毒 较 
多 ,例如 GENP 小 球 `.W-BOOT 等 。 

(6) 隐蔽 性 

计算 机 病毒 一 般 是 具有 很 高 编程 技巧 ,短小精悍 的 程序 。 通 常 附 在 正常 程序 中 或 磁 
盘 较 隐蔽 的 地 方 ,: 也 有 个 别 的 以 隐 含 文件 形式 出 现 ,目的 是 不 让 用 户 发 现 它 的 存在 。 大 部 
分 病毒 代码 之 所 以 设计 得 比较 短小 ,也 是 为 了 便于 隐藏 。 它 一 般 只 有 几 百 或 1K 字 节 ,而 
PC 对 DOS 文件 的 存 取 速 度 可 达 每 秒 几 百 KB 以 上 ,所 以 病毒 转瞬 之 间 便 可 将 这 短 短 的 
几 百 字 节 附着 到 正常 程序 之 中 ,非常 不 易 察 觉 。 一 般 在 没有 防护 措施 的 情况 下 ,病毒 程序 
取得 系统 控制 权 后 ,可 以 在 很 短 的 时 间 里 传染 大 量程 序 。 而 且 受 到 传染 后 ,计算 机 系统 通 
常 仍 能 正常 运行 ,使 用 户 不 会 感到 任何 异常 。 正 是 由 于 隐 项 性 ,病毒 得 以 在 用 户 没 有 察觉 
的 情况 下 扩散 到 上 百 万 台 计算 机 中 。 

(7) 衍生 性 

这 种 特性 为 病毒 制造 者 提供 了 一 种 创造 新 病毒 的 捷径 。 分 析 计 算 机 病毒 的 结构 可 
知 。 感 染 和 破坏 部 分 反映 了 设计 者 的 设计 思想 和 设计 目的 。 但 是 ,这 可 以 被 其 他 掌握 原 
理 的 人 以 其 个 人 的 企图 进行 任意 改动 ,从 而 又 衍生 出 一 种 不 同 于 原版 本 的 新 的 计算 机 病 
毒 (又 称 为 变种 )。 这 就 是 它 的 衍生 性 。 这 种 变种 病毒 造成 的 后 果 可 能 比 原版 病毒 严重 
得 多 。 

(8) 针对 性 

计算 机 病毒 是 针对 特定 的 计算 机 和 特定 的 操作 系统 而 设计 的 。 例 如 ,有 针对 IBM 
PC 及 其 兼容 机 的 ,有 针对 Apple 公司 的 Macintosh 的 ,还 有 针对 UNIX 操作 系统 的 。 例 
如 ,小 球 病毒 是 针对 IBM PC 及 其 兼容 机 上 的 DOS 操作 系统 的 。 

(9) 持久 性 

由 于 计算 机 病毒 的 变异 ,使 得 消灭 计算 机 病毒 的 工作 十 分 不 易 。 即 使 发 现 了 病毒 , 数 
据 和 操作 系统 的 恢复 都 非常 困难 。 特 别 是 在 网 络 操作 情况 下 ,由 于 病毒 程序 通过 网 络 系 
统 反复 复制 传播 ,使 得 病毒 程序 的 清除 变 得 非常 复杂 。 

随 着 计算 机 网 络 时 代 的 到 来 ,网 络 为 计算 机 病毒 的 传播 带 来 了 便捷 ,同时 也 展现 出 计 
算 机 病毒 的 许多 新 特点 。 

(1) 传播 速度 极 快 

现在 ,计算 机 病毒 具有 蠕虫 的 特点 ,可 以 利用 网 络 进行 传播 。 因 此 , 当 一 种 新 病毒 出 
现 后 ,可 以 迅速 通过 国际 互联 网 传播 到 世界 各 地 。 如 “ 爱 虫 "病毒 在 一 两 天 内 迅速 传播 到 
世界 的 主要 计算 机 网 络 ,并 造成 欧美 国家 的 计算 机 网 络 瘫痪 。 

(2) 主动 通过 网 络 和 邮件 系统 传播 

从 当前 流行 的 计算 机 病毒 来 看 ,其 中 70% 病 毒 都 可 以 利用 邮件 系统 和 网 络 进行 传 
播 。 虽然 W97M_ETHAN. A 和 097M_TRISTATE 等 这 些 宏 病 毒 不 能 主动 通过 网 络 传 
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播 ,但 是 很 多 人 使 用 Office 系统 创建 和 编辑 文档 ,然后 通过 电子 邮件 交换 信息 。 因 此 , 宏 
病毒 也 是 通过 邮件 进行 传播 的 。 

(3) 难以 控制 

利用 网 络 传播 .破坏 的 计算 机 病毒 ,一 旦 在 网 络 中 传播 .蔓延 便 很 难 控制 。 往 往 准 备 
采取 防护 措施 的 时 候 , 可 能 已 经 遭受 病毒 的 侵袭 ,除非 关闭 网 络 服务 ,但 是 这 样 做 很 难 被 
人 接受 ,同时 关闭 网 络 服务 可 能 会 蒙受 更 大 的 损失 。 

(4) 难以 根治 、 容 易 引 起 多 次 疫情 

最 早 在 1999 年 3 月 份 爆发 的 “美丽 莎 ” 病 毒 , 人 们 花 了 很 多 精力 和 财力 才 控 制 住 。 但 
是 ,2001 年 它 又 在 美国 死灰复燃 ,再 一 次 形成 疫情 ,造成 破坏 。 之 所 以 出 现 这 种 情况 ,一 
是 由 于 人 们 放松 了 警惕 性 ,新 投入 使 用 的 系统 未 安装 防 病 毒 系统 ; 再 者 是 使 用 了 之 前 保 
存 的 染病 毒 文档 ,激活 了 病毒 再 次 流行 。 


9.2 计算 机 病毒 的 工作 原理 


为 了 做 好 病毒 的 检测 、 预 防 和 清除 工作 ,首先 要 在 认 清 计算 机 病毒 的 结构 和 主要 特征 
的 基础 上 ,了 解 计算 机 病毒 的 工作 的 一 般 过 程 及 其 原理 ,针对 每 个 环节 做 出 相应 的 防范 措 
施 ,为 检测 和 清除 病毒 提供 充实 可 靠 的 依据 。 


9.2.1 计算 机 病毒 的 结构 


计算 机 病毒 的 种 类 虽 多 ,但 对 病毒 代码 进行 分 析 、 比 较 可 以 看 出 ,它们 的 主要 结构 是 
类 似 的 。 整 个 计算 机 病毒 一 般 由 四 大 部 分 组 成 : 引导 模块 .感染 模块 .破坏 模块 和 触发 模 
块 。 当 计算 机 病毒 经 过 引导 功能 开始 进入 内 存 后 , 便 处 于 活动 状态 ,满足 一 定 触发 条 件 后 
就 开始 进行 传染 和 破坏 ,从 而 构成 对 计算 机 系统 和 资源 的 威胁 。 

(1) 引导 模块 

引导 模块 也 就 是 病毒 的 初始 化 部 分 , 它 的 作用 是 将 病毒 主体 加 载 到 内 存 ,并 窃取 系统 
的 控制 权 , 同 时 也 完成 把 病毒 程序 的 其 他 两 个 模块 驻 留 内 存 及 初始 化 的 工作 (如 驻 留 内 
存 、 修 改 中 断 、 修 改 高 端 内 存 等 操作 ) ,然后 把 执行 权 交 给 源 文 件 。 

(2) 感染 模块 

感染 模块 的 作用 是 寻找 被 感染 目标 .检查 目标 是 否 感染 本 病毒 或 是 否 满足 其 他 感染 
条 件 。 如 果 条 件 满足 , 则 将 病毒 代码 复制 到 传染 目标 上 去 。 一 般 来 说 ,不 同类 型 的 病毒 在 
感染 方式 .感染 条 件 上 各 有 不 同 。 计 算 机 病毒 的 感染 方式 基本 可 分 为 两 大 类 : 立即 感染 
和 驻 留 内 存 并 伺机 感染 。 

(3) 破坏 模块 

破坏 模块 是 病毒 对 系统 或 磁盘 上 的 文件 进行 破坏 活动 ,前 两 个 模块 也 是 为 这 部 分 服 
务 的。 不 同 的 病毒 破坏 的 方式 或 破坏 的 杀伤 力 不 一 样 ,这 取决 于 病毒 作者 的 主观 愿望 和 
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他 所 具有 的 技术 能 量 。 病 毒 破坏 的 主要 目标 如 下 : 系统 数据 区 、 文 件 、 内 存 、 磁 盘 、 系 统 文 
件 、 主 板 和 网 络 等 。 

(4) 触发 模块 

大 部 分 的 病毒 为 了 增加 自己 的 隐藏 性 ,往往 都 是 有 一 定 条 件 才 会 触发 其 破坏 模块 。 
可 触发 性 是 病毒 的 攻击 性 和 潜伏 性 之 间 的 调整 杠杆 ,可 以 控制 病毒 感染 和 破坏 的 频 度 ,在 
杀伤 力 和 潜伏 性 之 间 寻 求 平衡 。 目 前 病毒 采用 的 触发 条 件 主 要 有 日 期 触发 .时 间 触 发 , 键 
盘 触 发 .启动 触发 .感染 触发 .访问 磁盘 次 数 触发 等 。 这 个 模块 也 是 最 为 灵活 的 部 分 ,根据 
编制 者 的 不 同 目的 而 千差万别 ,而 有 的 病毒 也 可 能 根本 没有 这 个 模块 。 


9.2.2 计算 机 病毒 的 引导 机 制 


1. 计算 机 病毒 的 寄生 对 象 


计算 机 病毒 要 实现 它 的 目标 ,就 必须 从 存储 体 进入 内 存 。 因 此 ,计算 机 病毒 在 存储 体 
中 的 寄生 位 置 一 定 是 可 以 激活 的 部 分 。 就 目前 出 现 的 各 种 计算 机 病毒 来 看 ,其 寄生 对 象 
主要 有 两 种 : 一 种 是 寄生 在 硬盘 的 主 引导 扇 区 或 磁盘 风 辑 分 析 引 导 扇 区 中 ; 另 一 种 是 寄 
生 在 可 执行 程序 (如 . exe 或 . com) 中 。 不 论 是 磁盘 引导 扇 区 还 是 可 执行 文件 ,它们 都 有 获 
取 执行 权 的 可 能 ,病毒 程序 寄生 在 它们 的 上 面 , 就 可 以 在 一 定 条 件 下 获得 执行 权 , 从 而 激 
活 计算 机 病毒 ,然后 进行 病毒 的 动态 传播 和 破坏 活动 。 

2. 计算 机 病毒 的 寄生 方式 

计算 机 病毒 的 寄生 方式 有 两 种 ,一 种 是 采用 替代 法 , 另 一 种 是 采用 链接 法 。 所 谓 蔡 代 
法 是 指 病毒 程序 用 自己 的 部 分 或 全 部 指令 代码 , 蔡 代 磁 盘 引 导 扇 区 或 文件 中 的 全 部 或 部 
分 内 容 。 所 谓 链接 法 则 是 指 病毒 程序 将 自身 代码 作为 正常 程序 的 一 部 分 与 原 有 正常 程序 
链接 在 一 起 ,病毒 链接 的 位 置 可 能 在 正常 程序 的 首部 、 尾 部 或 中 间 。 寄 生 在 磁盘 引导 扇 区 
的 病毒 一 般 采 取 蔡 代 法 ,而 寄生 在 可 执行 文件 中 的 病毒 一 般 采 用 链接 法 。 


3. 计算 机 病毒 的 引导 过 程 


计算 机 病毒 寄生 的 目的 就 是 为 了 能 让 自己 运行 ,从 而 激活 自己 。 计 算 机 病毒 的 引导 
过 程 一 般 包 括 以 下 3 个 方面 。 

(1) 驻 留 内 存 

计算 机 病毒 若 要 发 挥 其 破坏 作用 ,一 般 要 驻 留 内 存 ,为 此 就 必须 开辟 所 用 内 存 空间 或 
覆盖 系统 占用 的 部 分 内 存 空 间 。 但 是 也 有 一 些 病 毒 是 不 用 驻 留 在 内 存 的 。 

(2) 窃取 系统 控制 权 

计算 机 病毒 程序 驻 留 内 存 后 ,必须 使 有 关 部 分 取代 或 扩充 系统 的 原 有 功能 ,并 窃取 系 
统 的 控制 权 。 此 后 病毒 程序 依据 其 设计 思想 ,隐蔽 自己 ,在 时 机 成 熟 时 进行 传染 和 破坏 。 

(3) 恢复 系统 功能 

计算 机 病毒 为 了 隐蔽 自己 , 驻 留 内 存 后 还 要 恢复 系统 ,使 系统 不 会 死机 或 出 现 明显 的 
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异常 状况 ,只 有 这 样 才能 等 待 时 机 成 熟 后 ,达到 感染 和 破坏 的 目的 。 有 的 病毒 在 加 载 之 前 
进行 动态 反 跟 踪 和 病毒 体 解密 ,这 使 得 对 病毒 的 发 现 和 清除 更 加 困难 。 

对 于 寄生 在 磁盘 引导 扇 区 的 计算 机 病毒 来 说 ,为 了 能 让 自己 运行 ,同时 还 不 能 影响 原 
有 系统 的 运行 ,病毒 引导 程序 占用 了 原 系统 引导 程序 的 位 置 , 并 把 原 系统 引导 程序 转移 到 
一 个 特定 的 地 方 。 这 样 一 来 , 当 计 算 机 系统 启动 的 时 候 ,病毒 引导 模块 就 会 自动 装 入 内 存 
并 获得 执行 权 , 然 后 该 引导 程序 负责 将 病毒 程序 的 其 他 模块 装 入 内存 的 适当 位 置 , 并 采取 
常 驻 内 存 技术 以 保证 这 些 模块 不 会 被 覆盖 ,接着 设 定 某 种 触发 方式 ,使 之 在 适当 的 时 候 获 
得 执行 权 。 之 后 ,病毒 引导 模块 将 正常 系统 引导 模块 装 入 内 存 , 使 计算 机 系统 在 带 毒 状态 
下 正常 启动 运行 。 

对 于 寄生 在 可 执行 文件 中 的 病毒 来 说 ,计算 机 病毒 程序 一 般 通 过 修改 原 有 可 执行 文 
件 , 使 该 文件 在 运行 时 , 先 转 入 病毒 程序 引导 模块 ,完成 驻 留 内 存 及 初始 化 的 工作 后 ,再 把 
执行 权 交 给 执行 文件 ,使 系统 及 可 执行 文件 继续 正常 运行 。 


9.2.3 计算 机 病毒 的 触发 机 制 


传染 .潜伏 、 可 和 触发 .破坏 是 病毒 的 基本 特性 。 可 触发 性 是 病毒 的 攻击 性 和 潜伏 性 之 
间 的 调整 杠杆 ,可 以 控制 病毒 感染 和 破坏 的 频 度 , 兼 顾 杀 伤 力 和 潜伏 性 。 

过 于 茄 刻 的 触发 条 件 , 可 能 使 病毒 有 好 的 潜伏 性 ,但 不 易 传播 杀伤 力 较 低 。 而 过 于 
宽松 的 触发 条 件 将 导致 病毒 频繁 感染 与 破坏 ,容易 暴露 ,导致 用 户 做 反 病毒 处 理 ,也 不 能 
有 大 的 杀伤 力 。 

计算 机 病毒 在 传染 和 发 作 之 前 ,往往 要 判断 某 些 特定 条 件 是 否 满足 ,满足 则 传染 或 发 
作 ,和 否则 不 传染 ` 不 发 作 或 只 传染 不 发 作 , 这 个 条 件 就 是 计算 机 病毒 的 触发 条 件 。 

实际 上 病毒 采用 的 触发 条 件 花 样 繁多 ,目前 病毒 采用 的 触发 条 件 主要 有 以 下 儿 种 。 

(1) 启动 触发 

计算 机 病毒 对 机 器 的 启动 次 数 计数 ,并 将 此 值 作为 触发 条 件 称 为 启动 触发 。 

(2) 键盘 触发 

有 些 病 毒 监视 用 户 的 击 键 动作 , 当 发 现 病毒 预定 的 键 时 ,病毒 被 激活 ,进行 某 些 特定 
操作 。 键 盘 触 发 包括 击 键 次 数 触发 .组 合 键 触发 、 热 启动 触发 等 。 

(3) 感染 触发 

许多 病毒 的 感染 需要 某 些 条 件 触发 ,而 且 相 当 数 量 的 病毒 又 以 与 感染 有 关 的 信息 反 
过 来 作为 破坏 行为 的 触发 条 件 , 称 为 感染 触发 。 它 包括 运行 感染 文件 个 数 触发 .感染 序数 
触发 .感染 磁盘 数 触发 .感染 失败 触发 等 。 

(4) 时 间 触 发 

时 间 触 发 包括 特定 的 时 间 触 发 . 染 毒 后 累计 工作 时 间 触 发 .文件 最 后 写 和 时间 触 

(5) 日 期 触发 

许多 病毒 采用 日 期 做 触发 条 件 。 日 期 触发 大 体 包括 : 特定 日 期 触发 .月 份 触发 .前 半 
年 或 后 半年 触发 等 。 
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(6) 访问 磁盘 次 数 触发 

病毒 对 磁盘 1/O 访问 的 次 数 进行 计数 ,以 预定 次 数 作为 触发 条 件 称 为 访问 磁盘 次 数 
触发 。 

(7) 调用 中 断 功 能 触发 

病毒 对 中 断 调 用 次 数 计数 ,以 预定 次 数 作为 触发 条 件 。 

(8) CPU 型 号 /主板 型 号 触发 

计算 机 病毒 以 预定 的 CPU 型 号 /主板 型 号 作为 触发 条 件 , 这 种 触发 方式 比较 少见 。 

被 计算 机 病毒 使 用 的 触发 条 件 是 多 种 多 样 的 ,而 且 往往 不 只 是 使 用 上 面 所 述 的 某 一 
个 条 件 , 可 能 使 用 由 多 个 条 件 组 合 起 来 的 触发 条 件 。 大 多 数 病毒 的 组 合 触 发 条 件 是 基于 
时 间 的 ,再 辅 以 读 写 盘 操作 按键 操作 以 及 其 他 条 件 。 

计算 机 病毒 中 有 关 触 发 机 制 的 代码 是 其 敏感 部 分 。 痢 析 病 毒 时 ,如 果 搞 清 病 毒 的 触 
发 机 制 , 可 以 修改 此 部 分 代码 ,使 计算 机 病毒 失效 ,就 可 以 产生 没有 潜伏 性 的 极为 外 露 的 
病毒 样本 , 供 反 病 毒 研 究 使 用 。 


9.2.4 计算 机 病毒 的 破坏 机 制 


计算 机 病毒 的 破坏 机 制 是 通过 修改 某 一 个 中 断 向 量 入 口 地 址 ,使 该 中 断 向 量 指向 计 
算 机 病毒 程序 的 破坏 模块 。 当 计算 机 系统 或 被 加 载 程序 访问 该 中 断 向 量 时 ,病毒 的 破坏 
模块 被 激活 ,在 判断 触发 条 件 满 足 的 情况 下 ,展开 设 定 的 破坏 行为 。 数 以 万 计 不 断 发 展 扩 
张 的 病毒 ,其 破坏 行为 千奇百怪 ,难以 做 出 全 面 的 描述 。 根 据 已 有 的 病毒 资料 分 析 , 可 以 
把 病毒 的 破坏 目标 和 攻击 部 位 归纳 如 下 。 

(1) 系统 数据 区 攻击 

攻击 部 位 包括 : 硬盘 主 引导 扇 区 .Boot 扇 区 .FAT 表 、 文 件 目 录 。 一 般 来 说 ,攻击 系 
统 数据 区 的 病毒 是 恶性 病毒 , 受 损 的 数据 不 易 恢复 。 

(2) 文件 攻击 

病毒 对 文件 的 攻击 方式 很 多 ,可 列举 如 下 : 删除 、 改 名、 替换 内 容 、 丢 失 部 分 程序 代 
码 内 容 颠 倒 , 写 人 时 间 空 白 、 变 碎片 .假冒 文件 .丢失 文件 簇 、 丢 失 数据 文件 等 。 

(3) 内 存 攻击 

内 存 是 计算 机 的 重要 资源 ,也 是 病毒 的 攻击 目标 。 病 毒 额外 地 占用 和 消耗 系统 的 内 
存 资源 ,可 以 导致 一 些 大 程序 运行 受阻 。 病 毒 攻 击 内 存 的 方式 如 下 : 占用 大 量 内 存 、 改 变 
内 存 总 量 ,禁止 分 配 内 存 等 。 

(4) 磁盘 攻击 

比如 攻击 磁盘 数据 ,不 写 盘 、 写 操作 变 读 操 作 、 写 盘 时 丢 字 节 。 

(5) CMOS 攻击 

在 计算 机 的 CMOS 区 中 ,保存 着 系统 的 重要 数据 ,例如 系统 时 钟 、 磁 盘 类 型 .内存 容 
量 等 ,并 具有 校 验 和 。 有 的 病毒 激活 时 ,能够 对 CMOS 区 进行 写 人 动作 ,破坏 系统 CMOS 
中 的 数据 。 
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(6) 运行 速度 攻击 

病毒 激活 时 ,其 内 部 的 时 间 延 迟 程序 启动 。 在 时 钟 中 纳入 了 时 间 的 循环 计数 ,迫使 计 
算 机 空转 ,使 计算 机 速度 明显 下 降 。 

(7) 干扰 系统 运行 攻击 

病毒 会 干扰 系统 的 正常 运行 ,以 此 作为 自己 的 破坏 行为 。 此 类 行为 也 是 花样 繁多 , 例 
如 : 不 执行 命令 .干扰 内 部 命令 的 执行 .虚假 报 警 、 打 不 开 文件 .内 部 栈 溢 出 、 占 用 特殊 数 
据 区 、 换 现行 盘 . 时 钟 倒转 、 重 启动 死机、 强制 游戏 .扰乱 串 并 行 口 等 。 


9.3 计算 机 病毒 的 检测 与 防范 


随 着 计算 机 网 络 的 发 展 ,使 有 些 计 算 机 病毒 借助 网 络 爆发 流行 ,如 “U 盘 寄生 虫 ” 
“ARP 病毒 “网 游 盗号 病毒 "等 ,给 广大 计算 机 用 户 带 来 了 极 大 的 困扰 。 因 此 ,在 与 计算 
机 病毒 的 对 抗 中 ,如 何 能 及 早 发 现 计算 机 病毒 很 重要 , 早 发 现 就 能 早 处 理 ,就 可 以 减少 损 
失 。 同 时 ,如 果 能 采取 积极 有 效 的 防范 措施 ,就 能 使 系统 不 被 计算 机 病毒 侵害 ,或 者 染 毒 
后 能 减少 损失 。 


9.3.1 计算 机 病毒 的 检测 


计算 机 病毒 检测 技术 是 通过 一 定 的 技术 手段 判定 出 计算 机 病毒 。 在 早期 进行 病毒 检 
测 时 , 想 要 知道 自己 的 计算 机 是 否 染 有 病毒 ,人 们 一 般 使 用 最 简单 的 方法 是 人 工 观察 , 随 
着 技术 的 发 展 , 则 使 用 较 新 的 防 病毒 软件 对 磁盘 进行 全 面 的 检测 。 

无 论 如 何 高 明 的 病毒 ,在 其 侵入 系统 后 总 会 留 下 一 些 “ 蛛 丝 马 迹 ”。 对 于 一 些 外 在 表 
现 较 为 明显 的 病毒 ,可 以 通过 一 些 简单 的 观察 ,从 而 能 够 及 早 地 发 现 新 病毒 。 首 先 ,观察 
计算 机 的 各 种 不 正常 的 表现 来 判断 。 比 如 : 计算 机 无 故 死机 、 运 行 速度 异常 .内 存 不 足 的 
错误 ,无意 中 要 求 对 软盘 进行 写 操作 正常 运行 的 应 用 程序 经 常 发 生死 机 或 非法 错误 等 。 
这 些 现象 的 发 生 都 有 可 能 是 计算 机 染 毒 的 表现 。 其 次 ,应 注意 常用 的 可 执行 文件 (如 
Command. com) 的 字 节 数 。 绝 大 多 数 的 病毒 在 对 文件 进行 传染 后 会 使 文件 的 长 度 增加 。 
在 查看 文件 字 节 数 时 应 首先 用 干净 的 系统 盘 启 动 。 

使 用 人 为 观察 的 方式 能 够 发 现 一 些 病毒 的 存在 ,但 还 有 很 多 的 病毒 是 无 法 用 观察 的 
方式 发 现 的 。 这 时 就 需要 使 用 计算 机 检测 技术 来 检测 计算 机 病毒 的 存在 。 计 算 机 病毒 检 
测 技术 主要 有 两 种 : 一 种 是 根据 计算 机 病毒 程序 中 的 关键 字 、 特 征程 序 段 内 容 、 计 算 机 病 
毒 特征 及 感染 方式 ,文件 长 度 的 变化 ,在 特征 分 类 的 基础 上 建立 的 计算 机 病毒 检测 技术 ; 
另 一 种 是 对 某 个 文件 或 数据 段 进行 检验 计算 并 保存 其 结果 ,以 后 定期 或 不 定期 地 根据 保 
存 的 结果 检验 该 文件 或 数据 段 是 否 存在 差异 。 

检测 计算 机 病毒 的 技术 主要 有 : 特征 代码 法 、 校 验 和 法 、 行 为 监测 法 、 软 件 模拟 法 、 系 
统 数据 对 比 法 等 ,这 些 方法 依据 的 原理 不 同 , 实 现时 所 需 开 销 不 同 , 检 测 范围 不 同 ,各 有 所 
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长 。 下 面 简单 介绍 其 中 的 几 种 。 
1. 特征 代码 法 


计算 机 病毒 程序 通常 具有 明显 的 特征 代码 。 特 征 代 码 可 能 是 计算 机 病毒 的 感染 标 
记 , 由 字母 或 数组 组 成 的 串 ; 也 可 能 是 以 小 段 计 算 机 程序 ,由 若干 计算 机 指令 组 成 。 将 已 
知 计算 机 病毒 的 特征 代码 收集 起 来 就 构成 了 计算 机 病毒 特征 代码 数据 库 。 若 要 判断 程序 
是 否 感染 病毒 ,只 要 查看 该 程序 中 是 否 有 某 些 可 执行 代码 段 作 判 断 即 可 。 

特征 代码 法 被 早期 应 用 于 SCAN、CPAYV 等 著名 病毒 检测 工具 中 。 国 外 专家 认为 特 
征 代 码 法 是 检测 已 知 病毒 最 简单 .开销 最 小 的 方法 。 特 征 代码 法 的 实现 步骤 如 下 : 采集 
已 知 病毒 样本 ; 在 计算 机 病毒 样本 中 ,抽取 计算 机 病毒 特征 代码 ; 将 特征 代码 纳入 计算 
机 病毒 数据 库 ; 检测 文件 。 采 用 病毒 特征 代码 法 的 检测 工具 , 面 对 不 断 出 现 的 新 病毒 , 必 
须 不 断 更 新 版 本 ,否则 检测 工具 便 会 老化 ,逐渐 失去 实用 价值 。 病 毒 特征 代码 法 对 从 未 见 
过 的 新 病毒 ,自然 无 法 知道 其 特征 代码 ,因而 无 法 去 检测 这 些 新 病毒 。 

计算 机 病毒 代码 串 的 选择 是 非常 重要 的 ,选择 特征 代码 的 规则 如 下 所 述 : 抽取 的 代 
码 比 较 特殊 ,不 大 可 能 与 普通 正常 程序 代码 吻合 ,能 够 将 计算 机 病毒 与 正常 的 非 计算 机 病 
毒 程序 区 分 开 ; 抽取 的 代码 要 有 适当 长 度 ,一 方面 维持 特征 代码 的 唯一 性 , 另 一 方面 又 不 
要 有 太 大 的 空间 与 时 间 的 开销 ; 代码 串 不 应 含有 计算 机 病毒 的 数据 区 ,数据 区 是 会 经 常 
变化 的 ; 在 既 感 染 . com 文件 又 感染 . exe 文件 的 病毒 样本 中 ,要 抽取 两 种 样本 共有 的 
代码 。 

特征 代码 法 的 优点 是 : 检测 准确 快速 ; 可 识别 病毒 的 具体 类 型 ; 误 报警 率 低 ; 依据 
检测 结果 ,可 做 杀毒 处 理 。 其 缺点 是 : 由 于 特征 代码 库 的 更 新 落后 于 新 病毒 的 出 现 ,因此 
不 能 检测 未 知 病毒 ; 搜集 已 知 病毒 的 特征 代码 ,研发 费用 开销 大 ; 在 网 络 上 效率 低 , 因 为 
在 网 络 服务 器 上 长 时 间 检 索 会 使 整个 网 络 服务 性 能 降低 。 


2. 校 验 和 法 


针对 正常 文件 内 容 的 校 验 和 ,将 该 校 验 和 写 入 文件 中 或 写 入 别 的 文件 中 保存 。 在 文 
件 使 用 过 程 中 ,定期 地 或 每 次 使 用 文件 前 ,检查 文件 现在 内 容 算 出 的 校 验 和 与 原来 保存 的 
校 验 和 是 否 一 致 ,因而 可 以 发 现 文件 是 否 感 染 , 这 种 方法 称 为 校 验 和 法 。 它 既 可 发 现 已 知 
病毒 又 可 发 现 未 知 病毒 。 

校 验 和 法 不 能 识别 病毒 的 种 类 ,不 能 给 出 计算 机 病毒 的 名 称 。 由 于 病毒 感染 并 非 文 
件 内容 改 变 的 唯一 的 非 他 性 原因 ,文件 内 容 的 改变 有 可 能 是 正常 程序 引起 的 ,所 以 校 验 和 
法 常常 误 报警 。 而 且 此 种 方法 也 会 影响 文件 的 运行 速度 。 

病毒 感染 的 确 会 引起 文件 内 容 变化 ,但 是 校 验 和 法 对 文件 内 容 的 变化 太 敏 感 , 又 不 能 
区 分 正常 程序 引起 的 变动 ,故而 频繁 报警 。 用 监视 文件 的 校 验 和 来 检测 病毒 ,不 是 最 好 的 
方法 。 

这 种 方法 遇 到 下 述 情况 : 已 有 软件 版 更 新 变更 密码 修改 运行 参数 , 校 验 和 法 都 会 
误 报 警 。 

运用 校 验 和 法 查 病毒 一 般 采 用 以 下 3 种 方式 。 
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OO 在 检测 病毒 工具 中 纳入 校 验 和 法 ,对 被 查 的 对 象 文件 计算 其 正常 状态 的 校 验 和 ， 
将 校 验 和 值 写 人 被 查 文件 中 或 检测 工具 中 ,而 后 进行 比较 。 

@ 在 应 用 程序 中 , 放 入 校 验 和 法 自我 检查 功能 ,将 文件 正常 状态 的 校 验 和 写 入 文件 
本 身 ,每 当 应 用 程序 启动 时 ,比较 现行 校 验 和 与 原 校 验 和 值 ,实现 应 用 程序 的 自 检测 。 

@ 将 校 验 和 检查 程序 常 驻 内 存 , 每 当 应 用 程序 开始 运行 时 ,自动 比较 检查 应 用 程序 
内 部 或 别 的 文件 中 预先 保存 的 校 验 和 。 

校 验 和 法 的 优点 是 : 方法 简单 ; 能 发 现 未 知 病毒 ; 被 查 文件 的 细微 变化 也 能 发 现 。 
其 缺点 是 : 需要 预先 记录 程序 正常 状态 的 校 验 和 ; 误 报警 率 较 高 ; 不 能 识别 计算 机 病毒 
类 型 ; 不 能 对 付 隐 项 型 病毒 。 


3. 行为 监测 法 


通过 对 病毒 多 年 的 观察 .研究 ,计算 机 病毒 有 一 些 行为 是 计算 机 病毒 的 共同 行为 ,而 
且 比 较 特 殊 。 利 用 计算 机 病毒 的 特有 行为 来 监测 程序 ,发 现 这 些 行为 就 报警 的 方法 称 为 
行为 监测 法 。 

这 些 作 为 监测 病毒 的 行为 特征 如 下 。 

@ 占有 INT 13H 所 有 的 引导 型 病毒 ,都 攻击 Boot 扇 区 或 主 引导 扇 区 。 系 统 启动 
时 , 当 Boot 扇 区 或 主 引导 扇 区 获得 执行 权时 ,系统 刚刚 开工 。 一 般 引 导 型 病毒 都 会 占用 
INT 13H 功能 ,因为 其 他 系统 功能 未 设置 好 ,无 法 利用 。 引 导 型 病毒 占据 INT 13H 功 
能 ,在 其 中 放置 病毒 所 需 的 代码 。 

@ 修改 DOS 系统 为 数据 区 的 内 存 总 量 。 病 毒 常 驻 内 存 后 ,为 了 防止 DOS 系统 将 其 

盖 , 必 须 修 改 系统 内 存 总 量 。 

@ 对 COM、EXE 文件 做 写 和 动作。 病毒 要 感染 ,必须 修改 . com 及 . exe 文件 。 

@ 病毒 程序 与 宿主 程序 的 切换 。 染 毒 程序 运行 中 , 先 运 行 病毒 ,而 后 执行 宿主 程序 。 
在 两 者 切换 时 ,有 许多 特征 行为 。 

@ 扫描 ,试探 特定 的 端口 ,修改 文件 和 文件 夹 属性 ,添加 共享 等 。 

行为 监测 法 的 优点 是 : 能 发 现 未 知 病毒 ; 能 准确 地 预报 未 知 的 多 数 病 毒 。 缺 点 是 : 
可 能 会 出 现 误 报警 ; 不 能 识别 病毒 类 型 ; 实现 时 有 一 定 难度 。 


9.3.2 计算 机 网 络 病毒 的 预防 


计算 机 病毒 的 侵入 并 将 对 系统 资源 构成 威胁 ,无 论 是 良性 的 病毒 还 是 恶性 的 病毒 。 
尤其 是 通过 网 络 传播 的 计算 机 病毒 .具有 传播 速度 快 、 传 染 范围 大 , 短 时 间 内 就 可 能 造成 
巨大 的 损失 。 因 此 ,防止 计算 机 病毒 应 以 预防 为 主 ,建立 网 络 系统 病毒 防护 体系 ,采用 有 
效 的 网 络 病毒 预防 措施 和 技术 。 

计算 机 病毒 预防 就 是 指 通过 建立 合理 的 计算 机 病毒 防范 体系 和 制度 ,及 时 发 现 计算 
机 病毒 侵入 ,并 采取 有 效 的 手段 阻止 计算 机 病毒 的 传播 。 

一 般 来 说 预防 计算 机 病毒 是 主动 的 ,而 杀毒 是 被 动 的。 我 们 希望 在 病毒 还 没有 造成 
破坏 以 前 就 消灭 它 ,而 不 是 病毒 已 经 造成 损失 再 杀 它 。 原 则 上 说 ,计算 机 病毒 防治 应 采取 
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“主动 预防 为 主 , 被 动 杀毒 为 辅 " 的 策略 。 
计算 机 病毒 的 预防 应 从 两 个 方面 人手 ,一 方面 是 从 管理 制度 上 入 手 , 男 一 方面 则 是 从 
计算 机 病毒 预防 技术 上 入 手 ,二 者 缺 一 不 可 , 偏 废 哪 一 方 都 不 应 该 。 


1. 制度 管理 


计算 机 病毒 预防 的 管理 制度 的 制定 是 至 关 重 要 的 ,涉及 管理 制度 ,行为 准则 和 操作 规 
程 等 。 如 机 房 或 计算 机 网 络 系 统 要 制定 严格 的 管理 制度 ,避免 蓄意 制造 传播 病毒 的 事件 
发 生 ; 对 接触 计算 机 系统 的 人 员 进 行 选择 和 审查 ; 对 系统 工作 人 员 和 资源 进行 访问 权限 
划分 ; 下 载 的 文件 要 经 过 严格 检查 ,其 至 下 载 文 件 、 接 收 邮件 要 使 用 专门 的 终端 和 账号 ， 
接收 到 的 程序 要 严格 限制 执行 等 。 只 有 建立 好 的 全 面 的 安全 管理 制度 ,才能 及 早 发 现 和 
清除 安全 隐患 ,减少 或 避免 计算 机 病毒 的 入 侵 。 


2. 预防 技术 


计算 机 病毒 预防 是 在 计算 机 病毒 尚未 入 侵 或 刚刚 入 侵 时 ,就 阻击 入 侵 和 立即 报警 。 
针对 病毒 的 特点 ,利用 现 有 的 技术 和 开发 新 的 技术 ,使 防 病毒 软件 在 与 计算 机 病毒 的 抗争 
中 不 断 得 到 完善 ,更 好 地 发 挥 保护 作用 。 目 前 可 采用 如 下 的 技术 来 预防 计算 机 病毒 的 
人 入侵。 

Q@ 将 查 毒 软件 和 杀毒 软件 集成 在 一 起 ,检查 是 否 存在 已 知 病毒 ,如 在 开机 时 或 在 执 
行 每 一 个 可 执行 文件 前 执行 扫描 程序 。 

@ 监测 写 盘 操作 ,如 果 有 一 个 程序 对 可 执行 文件 进行 写 操作 ,就 认为 改 程序 可 能 是 
计算 机 病毒 。 

@ 对 系统 中 的 文件 形成 一 个 密码 检验 码 和 实现 对 程序 完整 性 的 验证 ,在 程序 执行 前 
对 程序 进行 密码 校 验 , 如 有 不 匹配 现象 就 报警 。 

@ 检测 病毒 经 常 要 改变 的 系统 信息 ,如 引导 区 、 中 断 向 量 表 、 可 用 内 存 空 间 等 ,来 确 
定 计算 机 病毒 的 存在 与 否 。 


9.4 蠕虫 的 防治 


蠕虫 是 一 种 通过 网 络 传播 的 恶性 计算 机 病毒 , 它 具 有 计算 机 病毒 的 一 些 共性 ,同时 也 
具有 不 利用 文件 寄生 等 自己 的 一 些 特征 。 它 使 用 危害 的 代码 来 攻击 网 络 上 的 受害 主机 ， 
并 在 受害 主机 上 自我 复制 ,再 攻击 其 他 的 受害 主机 。 


9.4.1 蠕虫 的 特征 


蠕虫 (worm) 是 通过 分 布 式 网 络 来 扩散 特定 的 信息 ,进而 造成 网 络 服务 遭 到 拒绝 并 发 
生死 锁 。 计 算 机 网 络 系统 的 建立 是 为 了 使 多 台 计算 机 能 够 共享 数据 资料 和 外 部 资源 , 然 
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而 也 给 计算 机 蠕虫 带 来 了 更 为 有 利 的 生存 和 传播 的 环境 。 在 网 络 环境 下 ,蠕虫 可 以 按 指 
数 增长 模式 进行 传播 。 蠕 虫 侵 入 计算 机 网 络 , 可 以 导致 计算 机 网 络 效 率 急剧 下 降 、 系 统 资 
源 遭 到 严重 破坏 , 短 时 间 内 造成 网 络 系统 的 瘫痪 。 在 网 络 环境 中 ,蠕虫 具有 以 下 一 些 新 
特性 。 

(1) 传播 速度 快 

在 单机 上 ,病毒 只 能 通过 移动 存储 设备 从 一 台 计 算 机 传染 到 另 一 台 计算 机 ,而 在 网 络 
中 则 可 以 通过 网 络 通信 机 制 , 借 助 高 速 通信 网 络 进行 迅速 扩散 。 由 于 蠕虫 在 网 络 中 传染 
速度 非常 快 ,扩散 范围 很 大 ,不 但 能 迅速 传染 局 域 网 内 所 有 计算 机 ,还 能 通过 远程 工作 站 
将 蠕虫 在 一 瞬间 传播 到 千里 之 外 。 

(2) 清除 难度 大 

在 单机 中 ,再 奖 固 的 病毒 也 可 通过 删除 带 毒 文件 \ 低 级 格式 化 硬盘 等 措施 将 病毒 清 
除 ,而 网 络 中 只 要 有 一 台 主 机 未 能 彻底 杀毒 就 可 能 使 整个 网 络 重新 被 病毒 感染 ,甚至 刚刚 
完成 杀毒 工作 的 一 台 主 机 马上 就 能 被 网 上 另 一 台 主 机 中 的 带 毒 程序 所 传染 ,因此 , 仅 对 主 
机 进行 病毒 杀 除 不 能 彻底 解决 网 络 蠕虫 的 问题 ,而 需要 借助 防火 墙 等 安全 设备 进行 管理 。 

(3) 破坏 性 强 

网 络 中 蠕虫 将 直接 影响 网 络 的 工作 状态 , 轻 则 降低 速度 ,影响 工作 效率 , 重 则 造成 网 
络 系统 的 瘫痪 破坏 服务 器 系统 资源 ,使 系统 数据 毁 于 一 旦 。 


9.4.2 蠕虫 的 分 类 与 感染 对 象 


蠕虫 的 最 重要 特征 是 它 本 身 就 是 一 个 独立 的 个 体 ,不 需要 依附 于 其 他 程序 上 ,其 自身 
能 够 进行 复制 和 传播 ,并 且 以 网 络 作 为 传播 途径 来 感染 计算 机 。 


1. 蠕虫 的 分 类 


将 “蠕虫 > 称 为 “蠕虫 病毒 ”, 是 因为 蠕虫 具有 病毒 的 一 些 共性 ,如 传播 性 .隐蔽 性 、 破 坏 
性 等 。 同 时 ,蠕虫 不 同 于 其 他 的 病毒 ,是 因为 它 具 有 自己 的 一 些 特征 ,如 不 利用 文件 寄生 
( 即 没 有 宿主 程序 ) ,在 IP 网 络 中 利用 系统 的 漏洞 进行 扫描 和 入 侵 ,导致 网 络 被 阻塞 ,以 及 
和 黑客 技术 相 结合 对 网 络 进行 攻击 等 。 另 外 ,从 破坏 性 上 看 ,由 于 蠕虫 利用 了 现代 计算 机 
网 络 的 特点 ,可 以 在 很 短 时 间 内 蔓延 到 整个 网 络 ,造成 网 络 瘫痪 ,因此 ,蠕虫 的 破坏 性 是 其 
他 病毒 所 无 法 比拟 的 。 

根据 蠕虫 对 系统 进行 破坏 的 过 程 , 可 以 将 蠕虫 分 为 两 类 。 一 类 是 利用 系统 漏洞 进行 
攻击 ,对 整个 网 络 (网 络 企业 内 部 网 络 和 互联 网 ) 产 生 威胁 ,可 造成 网 络 瘫痪 ,主要 有 红色 
代码 、 尼 姆 达 、SQL 蠕虫 王 等 。 另 一 类 是 通过 电子 邮件 及 恶意 网 页 的 形式 进行 ,主要 针对 
个 人 用 户 ,主要 有 爱 虫 病毒 ,求职 信 病 毒 等 。 其 中 ,前 一 类 蠕虫 具有 很 大 的 主动 攻击 性 和 
突 发 性 ,但 由 于 它 主要 利用 系统 的 漏洞 对 网 络 进行 破坏 ,所 以 这 类 蠕虫 的 清除 和 防治 并 不 
困难 。 第 二 种 病毒 的 传播 方式 比较 复杂 和 多 样 ,多 利用 微软 应 用 程序 的 漏洞 和 社会 工程 
学 对 用 户 进 行 欺骗 和 诱 使 ,所 以 这 类 病毒 较 难 完全 根除 。 
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2. 蠕虫 的 感染 对 象 


蠕虫 一 般 不 依赖 于 某 一 个 文件 ,而 是 通过 IP 网 络 进行 自身 复制 。 例 如 ,病毒 的 传染 
能 力主 要 是 针对 计算 机 内 的 文件 系统 而 言 , 而 蠕虫 的 传染 目标 是 网 络 内 的 所 有 计算 机 , 例 
如 局 域 网 中 的 共享 文件 夹 . 电 子 邮 件 、 恶 意 网 页 ,存在 一 定 漏洞 的 主机 (多 为 服务 器 ) 等 都 
成 为 蠕虫 传播 的 主 选 途径 。 


9.4.3 系统 感染 蠕虫 的 症状 


当 蠕 虫 感染 计算 机 系统 后 ,表现 为 系统 运行 速度 和 上 网 速度 均 变 慢 , 如 果 网 络 中 有 防 
火 墙 ,防火 墙 会 产生 报警 等 。 下 面 根据 不 同类 型 蜂 虫 的 传播 和 破坏 方式 ,分别 介绍 几 类 主 
要 的 表现 。 

(1) 利用 系统 漏洞 进行 破坏 的 蠕虫 

此 类 蜂 虫 主要 有 “红色 代码 “* 尼 姆 达 ”“ 求 职 信 ”等 。“ 尼 姆 达 ” 病 毒 利用 Windows 操 
作 系 统 中 IE 浏览 器 的 漏洞 ,通过 用 Web 方式 接收 邮件 的 方式 传播 。 感染 了 “ 尼 姆 达 ” 病 
毒 的 邮件 ,即使 用 户 不 打开 它 的 附件 ,该 类 病毒 也 能 够 被 激活 ,进而 对 系统 进行 破坏 。“ 红 
色 代码 ” 则 是 利用 了 Windows 操作 系统 中 IIS 的 漏洞 (idq. dll 远程 缓存 区 溢出 ) 来 传播 。 
而 “SQL 蠕虫 王 ” 是 利用 了 Microsoft 公司 的 SQL Server 数据 库 系 统 的 漏洞 进行 大 肆 
攻击 。 

(2) 通过 网 页 进行 触发 的 蠕虫 

蠕虫 的 编写 技术 与 传统 的 病毒 有 所 不 同 , 许 多 蠕虫 是 利用 当前 最 新 的 编程 语言 与 编 
程 技术 来 编写 的 ,而 且 同 一 蠕虫 程序 易于 修改 ,从 而 产生 新 的 变种 ,以 逃避 反 病 毒 软件 的 
搜索 。 现 在 大 量 的 蠕虫 用 Java、ActiveX、VBScript 等 技术 ,多 潜伏 在 HTML 页 面 文件 
里 , 当 打开 相应 的 网 页 时 则 自动 触发 。 

(3) 蠕虫 与 黑客 技术 相 结 合 

现在 的 许多 蠕虫 不 仅仅 是 单独 对 系统 破坏 ,而 且 与 黑客 技术 相 结合 ,为 黑客 人 侵 提供 
了 必要 的 条 件 。 例 如 当 系 统 感染 “红色 代码 ”后 ,在 计算 机 的 Web 目录 的 \scripts 子 目 录 
下 将 生成 一 个 root. exe, 利 用 该 文件 可 以 远程 执行 任何 命令 ,从 而 使 黑客 能 够 再 次 进入 。 
另外 , 像 “ 尼 姆 达 ”“ 求 职 信 ” 等 蠕虫 可 通过 文件 .电子 邮件 、Web 服务 器 、 网 络 共享 等 多 种 
途径 进行 传播 。 


9.4.4 蠕虫 的 防治 


病毒 并 不 是 非常 可 怕 的 ,防范 此 类 病毒 需要 注意 以 下 几 点 。 
1. 使 用 杀毒 软件 
随 着 病毒 的 发 展 , 人 们 对 杀毒 软件 的 依赖 也 越 来 越 高 。 因 此 ,根据 需要 选 购 合适 的 杀 
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毒 软件 成 为 防 病毒 的 基本 手段 。 杀 毒 软件 对 病毒 的 查 杀 是 以 病毒 的 特征 码 为 依据 的 ,而 
病毒 每 天 都 层出不穷 ,尤其 是 在 网 络 时 代 , 蠕 虫 病毒 的 传播 速度 快 、 变 种 多 ,所 以 必须 随时 
更 新 病毒 库 , 以 便 能 够 查 杀 最 新 的 病毒 。 


2. 更 新 系统 补丁 


更 新 操作 系统 补丁 的 目的 之 一 是 堵 住 系统 的 漏洞 。 由 许多 病毒 ,例如 SQL 蠕虫 王 、 
冲击 波 和 震荡 波 等 病毒 都 是 利用 系统 存在 的 不 同 漏洞 来 人 侵 并 发 作 的 ,所 以 及 时 更 新 补 
丁 对 于 防治 蠕虫 是 非常 重要 的 。 可 利用 Windows 操作 系统 自 带 的 Windows Update 补 
丁 管理 工具 来 为 系统 安装 补丁 程序 。 

Windows Update 分 为 在 线 更 新 和 自动 更 新 两 种 方法 。 在 线 更 新 需要 计算 机 接 入 
Internet ,在 正 浏 览 器 中 输入 Microsoft 公司 补丁 程序 网 站 的 地 址 http: //windowsupdate. 
microsoft. com; 或 者 在 下 浏览 器 中 选择 “工具 ”菜单 下 的 “Windows Update” 来 打开 在 线 
更 新 功能 。 当 用 户 打开 在 线 更 新 功能 时 ,系统 本 身 会 把 自己 的 相关 信息 上 传 给 补丁 程序 
更 新 网 站 ,然后 网 站 根据 收 到 的 系统 信息 判断 系统 有 哪些 补丁 程序 还 没有 安装 ,并 且 将 判 
断 结 果 以 列表 的 形式 显示 出 来 。 用 户 可 以 在 该 列表 中 选择 要 安装 的 补丁 程序 。 

自动 更 新 功能 就 是 由 计算 机 操作 系统 自己 按时 去 下 载 更 新 数据 包 , 更 新 操作 系统 。 
Windows Update 自动 更 新 的 使 用 方法 为 选择 * 开 始 一 设置 一 控制 面板 一 自动 更 新 ”, 在 
打开 的 如 图 9. 1 所 示 的 对 话 框 中 进行 配置 ,其 中 需要 选择 “自动 (推荐 )" 单 选 按钮 ,然后 在 
下 方 的 下 拉 列 表 框 中 选择 自动 更 新 的 时 间 。 在 自动 更 新 中 ,系统 还 提供 了 “下 载 更 新 ”和 
“下 载 通知 ”两 个 功能 。 如 图 9. 1 所 示 ,如 果 选 择 了 “下 载 更 新 ,但 是 由 我 来 决定 什么 时 间 
来 安装 ”一 项 ,系统 会 随时 到 Windows Update 网 站 下 载 补丁 程序 ,之 后 会 询问 用 户 是 否 
要 安装 该 补丁 程序 ; 当选 择 了 “有 可 用 下 载 时 通知 我 ,但 是 不 要 自动 下 载 或 安装 更 新 ”一 


先 帮助 保护 您 的 电脑 
多 


Windows, 全 ， 并 为 您 安装 它们 。 (启用 自动 更 新 可 
以 在 安装 其 它 更 新 之 前 先 目 动 更 新 Windows Update 软件 )。 


自动 更 甸 名 何 工作 
日 自动 健 议 ) wD 
自动 下 载 推荐 的 更 新 ， 并 安装 它们 


妃 天 加 [zoom 图 
品 下 载 更 新 ， 但 是 由 我 来 决定 什么 时 候 安装 。 四 ) 
加 有 可 用 下 载 时 通知 我 ， 但 是 不 要 自动 下 载 或 安装 更 新 。 0) 


口 关 闭 自动 更 新 。C) 
如 果 您 不 定期 安装 更 新 ， 您 的 计算 机 格 变 得 易 受 攻击 。 


从 indows Update 网 站 安装 更 新 。 


亡 验 ][a 


9.1 自动 更 新 配置 对 话 框 
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项 时 ,如 果 Windows update 网 站 有 新 的 补丁 发 布 ,系统 会 提示 用 户 来 下 载 并 安装 该 补丁 
程序 ,如 图 9. 2 所 示 。 用 户 可 以 选择 “快速 安装 (推荐 )” 来 安装 所 有 的 补丁 程序 ,也 可 以 选 
择 “ 自 定义 安装 (高 级 )” 来 选择 安装 部 分 补丁 程序 。 


载 和 您 想 怎样 安装 更 新 ? 
Windows 找到 了 1 个 更 新 。 此 更 新 需要 先 接受 许可 条 款 。 


加 快速 安装 推荐 ) EE) 
轻松 安装 对 悠 的 计算 机 适用 的 更 新 。 这 格 保证 悠 的 计算 机 有 最 新 的 软件 。 


品目 定义 安装 六 级 ) D 
注意 您 可 能 需要 重启 动 计算 机 以 使 更 新 生效 。 


图 9.2 “自动 更 新 "对话 框 


3. 加 强 对 系统 账户 名 称 及 密码 的 管理 


现在 的 一 些 蠕 虫 已 经 具备 了 黑客 程序 的 一 些 功 能 ,有 些 蠕 虫 会 通过 暴力 破解 的 方法 
来 获得 系统 管理 员 的 账户 名 称 和 密码 ,从 而 以 系统 管理 员 的 身份 人 侵 系 统 , 并 对 其 进行 破 
坏 。Windows 2000/XP/2003 默认 的 系统 管理 员 账 户 名 称 Administrator, 为 了 防止 蠕虫 
轻而易举 地 获得 该 账户 名 称 ,建议 用 户 将 Administrator 进行 更 名 。 为 了 加 强 系统 的 安全 
性 ,对 于 密码 的 设置 ,建议 使 用 "四维 空间 ?规则 。 这 ”四 维 空间 ?分别 为 小 写字 母 , 大 写字 
母 ,数字 和 特殊 字符 4 类 符号 , 即 每 个 账户 的 密码 中 应 同时 包括 这 4 类 符号 ,同时 密码 的 
长 度 应 在 8 位 以 上 。 据 相关 数字 统计 ,一 个 密码 前 6 位 的 安全 性 是 非常 重要 的 。 因 此 , 建 
议 用 户 在 设置 密码 时 ,前 6 位 要 使 用 “四 维 空间 ”规则 。 

另外 ,如 果 没 有 特殊 要 求 , 建 议 不 要 在 系统 中 创建 太 多 的 账户 ,不 要 创建 与 
Administrator 具有 相同 权限 的 管理 员 账户 。 对 于 Guest 账户 ,在 不 需要 的 时 候 可 将 其 停 
用 。 此 外 ,对 于 Administrator 和 Guest 账户 , 除 设 置 较为 复杂 的 密码 外 ,为 了 提高 安全 
性 ,用 户 可 以 将 Administrator 和 Guest 调换 其 身份 。 具 体 方法 是 选择 “开始 一 运行 ”, 在 
打开 的 对 话 框 中 输入 “gpedit. msc”, 单 击 “ 确 定 ” 按 钮 后 ,在 打开 的 “组 策略 "窗口 中 选择 
“Windows 设置 一 本 地 策略 一 安全 选项 ”, 在 右 侧 窗口 中 将 会 显示 “ 重 命名 来 宾 账 户 ” 和 
“ 重 命名 系统 管理 员 账 户 ” 两 项 。 利 用 这 两 个 策略 ,用 户 可 以 把 系统 管理 员 Administrator 
的 账户 名 称 更 改 为 Guest, 而 将 来 宾 账 户 Guest 的 名 称 更 改 为 Administrator。 这 样 的 设 
置 会 给 蠕虫 设置 一 个 陷阱 ,即使 有 蠕虫 获得 了 Administrator 的 密码 , 当 其 入 侵 系 统 后 也 
只 能 获得 来 宾 账 户 的 权限 ,从 而 减 小 系统 的 损失 。 
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4. 取消 共享 连接 


文件 和 文件 夹 共 享 及 IPC(Internet Process Connection) 连 接 是 蠕虫 常用 的 入 侵 途 
径 。 因 此 ,关闭 不 需要 的 共享 文件 或 文件 夹 以 及 IPC, 是 减少 蠕虫 人 侵 的 有 效 手 段 。 打 开 
某 个 文件 夹 的 “属性 ”“ 共 享 " 对 话 框 ,在 其 中 可 以 设置 是 否 要 共享 这 个 文件 夹 。 此 外 可 以 
通过 设置 访问 者 及 其 权限 来 增强 共享 安全 性 。 在 共享 文件 夹 的 “属性 ”一 “共享 ”对 话 框 
中 , 单 击 “权限 ”按钮 ,将 打开 * 权 限 ? 对 话 框 。 其 中 ,系统 默认 是 每 一 个 用 户 (Everyone) 都 
能 够 访问 该 共享 资源 ,而 且 访问 权限 是 “完全 控制 ”。 为 此 ,可 将 Everyone 账户 删除 ,然后 
单 击 “ 添 加 ”按钮 ,添加 允许 访问 该 共享 资源 的 用 户 名 ,同时 可 以 根据 用 户 实际 需求 来 设置 
相应 的 权限 。 所 有 共享 的 文件 夹 可 在 “计算 机 管理 ”窗口 的 “系统 工具 ”一 “共享 文件 夹 ” 中 
查看 。 

有 时 ,为 了 获得 更 高 的 安全 性 ,要 求 用 户 将 系统 中 “共享 ”这 一 服务 功能 去 掉 。 此 时 ， 
用 户 可 选择 “开始 一 运行 ”, 在 打开 的 对 话 框 中 输入 “services. msc” 命 令 , 单 击 “ 确 定 ” 按 钮 ， 
打开 “服务 ”窗口 。 在 该 窗口 中 找到 “Server” 服 务 , 单 击 鼠 标 右 键 ,在 出 现 的 快捷 菜单 中 选 
择 “ 停 止 " 命 令 , 将 打开 “停止 其 他 服务 ”对 话 框 。 单 击 “ 是 ”按钮 ,将 关闭 所 有 的 共享 服务 ， 
这 样 原来 在 “共享 文件 夹 " 中 看 到 的 共享 连接 将 无 法 使 用 。 


5. 提高 防 杀毒 意识 


在 网 络 时 代 , 人 们 使 用 计算 机 时 ,很 大 一 部 分 是 上 网 ,因此 养 成 好 的 习惯 和 意识 ,可 以 
很 好 地 防止 计算 机 中 毒 。 例 如 不 要 轻易 去 点 击 陌生 的 站 点 ,有 可 能 里 面 就 含有 恶意 代码 ; 
不 随意 查看 陌生 邮件 ,尤其 是 带 有 附件 的 邮件 等 。 


9.5 木马 的 防治 


特洛伊 木马 (简称 为 “木马 ” ,英文 为 Trojan) 不 具有 传统 计算 机 病毒 的 特征 , 它 不 会 
感染 其 他 的 文件 ,不 破坏 计算 机 系统 ,同时 也 不 进行 自我 的 复制 。 但 由 于 目前 市 面 上 的 杀 
毒 软件 都 支持 对 木马 的 查 杀 ,因此 习惯 上 将 木马 称 为 “木马 病毒 ”。 木 马 主要 用 来 作为 远 
程控 制 计 算 机 、 窃 取 用 户 密码 以 及 私人 数据 的 工具 , 它 实 际 是 一 个 具有 非 授 权 访 问 连接 功 
能 的 后 门 程序 。 

当 木 马 程序 或 带 有 木马 的 其 他 程序 执行 后 ,木马 首先 会 在 系统 中 潜伏 下 来 ,并 修改 系 
统 的 配置 参数 ,使 每 次 启动 系统 时 都 能 够 实现 木马 程序 的 自动 加 载 。 木 马 的 工作 方式 属 
于 客户 /服务 器 模式 (client/server,C/S)。 客 户 端 是 指 攻 击 者 用 于 进行 攻击 的 本 地 计算 
机 ,木马 的 客户 端 程序 在 本 地 主机 运行 ,用 来 控制 服务 器 端 。 服 务 器 端 则 是 被 植 和 人 木马 的 
远程 计算 机 ,木马 的 服务 器 端 程序 在 远程 主机 上 运行 ,一 旦 运行 成 功 则 远程 主机 就 中 了 木 
马 , 它 将 成 为 一 台 木 马 服 务 器 ,可 以 被 控制 者 通过 客户 端 远程 管理 。 
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9.5.1 木马 的 隐藏 


木马 的 运行 一 般 是 隐蔽 的 ,是 不 能 被 用 户 发 现 的 。 为 了 防止 被 发 现 , 因 此 它 必 须 把 自 
己 隐 藏 起 来 。 例 如 ,有 的 木马 在 服务 器 端 与 正常 程序 进行 绑 定 ,从 而 使 用 户 在 使 用 被 绑 定 
的 正常 程序 时 实现 木马 的 运行 ; 有 的 木马 会 修改 注册 表 和 系统 文件 ,以 便 使 计算 机 在 下 
一 次 启动 后 仍 能 运行 木马 程序 ,而 不 需要 生成 一 个 启动 程序 ; 有 的 木马 程序 能 把 自身 的 
.exe 文件 和 服务 端的 图 片 文件 (如 扩展 名 为 . jpg 或 . bmp 的 图 片 文件 ) 绑 定 , 在 用 户 打开 
图 片 时 ,木马 便 能 运行 起 来 。 虽 然 木 马 存 在 于 用 户 计算 机 的 方式 多 种 多 样 , 但 其 主要 的 隐 
藏 方式 有 以 下 几 种 。 

(1) 隐藏 在 “任务 栏 ?里 

有 的 木马 在 载 人 用 户 系 统 以 后 ,会 在 Windows 的 “任务 栏 ? 里 生成 一 些 特有 的 图 标 ， 
如 果 发 现 这 种 莫名 的 图 标 , 应 怀疑 是 木马 程序 在 运行 。 但 这 种 方式 出 现 的 木马 很 容易 被 
用 户 发 现 , 因 此 现在 的 许多 木马 程序 在 运行 时 已 不 会 在 “任务 栏 " 中 显示 其 程序 图 标 。 

(2) 隐藏 在 “任务 管理 器 ?里 

在 键盘 上 同时 按 下 Ctrl、Alt 和 Delete 三 个 键 ,将 打开 “任务 管理 器 ”程序 ,在 打开 的 
窗口 中 ,选择 “进程 ”标签 ,就 可 以 查看 系统 中 正在 运行 的 进程 。 如 果 在 进程 列表 中 看 到 一 
些 不 知名 的 进程 ,这 时 可 以 怀疑 是 木马 程序 。 有 时 ,木马 程序 会 将 自己 伪装 为 “系统 服务 ” 
进程 以 欺 驴 用户。 为 了 隐藏 自己 ,现在 的 一 些 木 马 程序 已 实现 了 在 进程 中 的 伪装 ,使 自己 
不 出 现在 任务 管理 器 中 。 这 时 ,用 户 可 以 运行 “开始 "菜单 一 “运行 "命令, 在“ 运行” 对话 框 
中 输入 *cmd” 命 令 , 单 击 “ 确 定 ” 按 钮 ,在 打开 的 “命令 行 " 窗 口中 ,输入 tasklist 命令 ,来 查 
看 进程 列表 。 

(3) 隐藏 通信 方式 

由 于 服务 器 端的 木马 程序 运行 后 都 要 和 客户 端 进行 通信 连接 ,这 种 连接 一 般 有 直接 
连接 和 间接 连接 两 种 方式 。 直 接连 接 是 指 攻击 者 通过 客户 端 直接 进入 植 有 木马 的 服务 器 
端 。 间 接连 接 则 是 通过 电子 邮件 .文件 下 载 等 方式 把 侵入 主机 的 敏感 信息 发 送 给 攻击 者 。 
为 了 把 自己 的 通信 隐藏 起 来 ,使 之 看 上 去 就 像 正常 进程 的 通信 ,现在 大 部 分 木马 一 般 会 在 
植 人 主机 后 ,通过 TCP 或 UDP 端口 进行 驻 留 ,而 且 有 些 木 马 多 选择 一 些 像 53、80、23 等 
常用 的 端口 。 例 如 ,有 的 木马 可 以 做 到 在 通过 80 端口 进行 HTTP 连接 后 ,在 收 到 正常 的 
HTTP 请 求 时 仍然 将 其 交 给 Web 服务 器 进行 处 理 , 只 有 收 到 一 些 特殊 约定 的 数据 包 时 
才 调用 木马 程序 。 

(4) 隐藏 加 载 方式 

木马 在 植 和 主机 后 必须 要 运行 才能 起 作用 ,为 此 在 木马 植 和 主机 后 需要 伺机 运行 。 
在 运行 时 ,木马 必须 采取 非常 隐蔽 的 方式 通过 欺骗 用 户 来 运行 ,否则 可 能 很 快 就 被 用 户 发 
现 。 为 了 实现 这 一 个 目的 ,木马 程序 常常 潜入 用 户 计算 机 的 启动 配置 文件 中 ,如 win. ini、 
system. ini 以 及 启动 组 文件 等 ,以 便 木马 程序 能 够 随 着 系统 的 启动 而 运行 。 目 前 ,由 于 一 
些 互动 网 站 大 量 应 用 脚本 程序 ,例如 JavaScript、VBScript、ActiveX、XLM 等 ,这 为 木马 的 
植 人 和 运行 提供 了 方便 之 门 。 因 此 不 要 随便 点 击 网 页 上 的 链接 ,除非 你 了 解 它 。 
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(5) 通过 修改 系统 配置 文件 来 隐藏 

木马 可 以 通过 修改 VXD( 虚 拟 设备 驱动 程序 ) 或 DLL( 动 态 链接 库 ) 文 件 来 加 载 森 
马 。 这 种 方法 与 一 般 方法 不 同 , 它 基 本 上 摆脱 了 原 有 木马 所 采用 的 监听 端口 进行 连接 的 
模式 ,而 是 将 木马 程序 改写 成 系统 已 知 的 VXD 或 DLL 文件 ,以 替代 系统 功能 的 方法 来 
入 侵 。 这 样 做 不 会 增加 新 的 文件 ,不 需要 打开 新 的 端口 ,没有 新 的 进程 ,使 用 常规 的 方法 
也 就 监测 不 到 。 

(6) 利用 多 重 备份 来 隐藏 

现在 许多 木马 程序 已 实现 了 模块 化 ,而 其 中 的 某 些 模块 文件 之 间 彼 此 互相 备份 ,同时 
也 可 以 相互 恢复 。 因 此 当 用 户 删除 了 其 中 的 一 个 模块 文件 时 ,在 其 他 模块 中 的 备份 文件 
就 会 立即 运行 ,恢复 已 经 删除 的 模块 文件 。 


9.5.2 木马 的 自 启动 


一 个 好 的 木马 程序 在 善于 隐藏 自己 的 同时 ,还 必须 具备 自 启动 功能 。 例 如 ,将 木马 加 
入 到 用 户 经 常 执行 的 程序 (如 explorer. exe、iexplore. exe) 中 。 当 用 户 执行 该 程序 时 , 木 
马 程 序 就 会 随 之 运行 。 更 普遍 的 方法 是 通过 修改 Windows 系统 文件 和 注册 表 来 达到 目 
的 ,主要 表现 在 以 下 几 个 方面 。 

(1) 利用 win. ini 自 启动 

在 Windows 操作 系统 的 win. ini 文件 的 [windowsj 字 段 中 有 "load 二 ”和 “run 二 ”两 个 
启动 命令 ,系统 默认 情况 下 这 两 条 命令 后 面 是 空白 的 。 如 果 要 利用 这 两 条 命令 启动 木马 ， 
那么 只 要 将 要 运行 的 木马 程序 加 载 到 这 两 条 启动 命令 就 可 以 了 。 

(2) 利用 system. ini 自 启动 

在 Windows 的 安装 目录 下 有 一 个 系统 配置 文件 system. ini, 其 中 [386Enhj] 字 段 下 的 
“driver 王 路径 \ 程 序 名 ”, 是 木马 经 常 加 载 的 地 方 。 另 外 ,在 system. ini 中 用 于 给 
Windows 操作 系统 来 加 载 驱 动 程序 的 [mic]、[drivers]、[drivers32] 字 有 段 ,也 是 添加 木马 
程序 自 启动 的 好 地 方 。 

(3) 利用 autoexec. bat 和 config. sys 自 启动 

在 硬盘 的 系统 引导 分 区 (一 般 为 C: 分 区 ) 下 存 有 autoexec. bat 和 config. sys 两 个 系 
统 批 处 理 和 配置 文件 ,因为 系统 在 启动 时 会 运行 这 两 个 文件 ,因此 也 是 木马 经 常用 于 自 启 
动 的 地 方 。Winstart. bat 也 是 一 个 能 自动 被 Windows 加 载运 行 的 文件 , 它 多 数 情 况 下 为 
应 用 程序 及 Windows 自动 生成 ,在 执行 了 Win. com 并 加 载 了 多 数 驱 动 程序 之 后 开始 
执行 。 

(4) 利用 Windows 启动 组 自 启动 

如 果 要 在 Windows 操作 系统 启动 时 自动 启动 某 一 个 程序 ,可 以 将 其 添加 到 “开始 一 
程序 一 启动 ”组 中 ,因此 Windows 的 启动 组 也 成 为 木马 经 常 加 载 的 地 方 。 启 动 组 对 应 的 
文件 夹 为 C:\Windows\start menu\program\startup, 在 注册 表 中 的 位 置 为 HKEY_ 
CURRENT_ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ shell 
Folders 中 的 Startup。 
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(5) 利用 文件 关联 自 启动 

如 果木 马 本 身 无 法 方便 地 实现 自 启动 ,就 需要 借助 其 他 合法 程序 来 完成 ,而 文件 关联 
就 是 其 中 最 常用 的 方式 之 一 。 文 件 关 联 就 是 将 一 种 类 型 的 文件 与 一 个 可 以 打开 它 的 程序 
建立 起 一 种 依存 关系 。 例 如 ,在 Windows 下 我 们 将 文本 文件 (. txt) 与 “记事 本 ” 
(notepad. exe) 程 序 关 联 起 来 。 依 靠 这 种 关联 , 当 你 双击 文本 文件 时 ,系统 就 会 使 用 “记事 
本 ”程序 来 打开 它 。 但 是 如 果木 马 修 改 了 这 种 关联 后 ,使 用 木马 程序 代替 了 “记事 本 ” 程 
序 , 那 么 当 打开 文本 文件 时 ,将 会 自动 运行 木马 程序 。 

(6) 利用 捆绑 文件 自 启动 

木马 的 客户 端 通过 工具 软件 将 木马 文件 和 某 一 应 用 程序 的 文件 捆绑 在 一 起 后 上 传 到 
服务 器 端 , 并 覆盖 服务 器 端的 同名 文件 。 这 样 即使 运行 的 木马 被 发 现 并 被 删除 ,但 只 要 系 
统 运行 捆绑 有 木马 的 应 用 程序 ,木马 就 会 再 次 运行 。 这 使 得 木马 的 查 杀 变 得 更 加 困难 。 
如 果 将 木马 程序 捆绑 到 杀 病 毒 程序 ,那么 每 次 Windows 启动 时 均 会 启动 木马 ,而 且 不 会 
被 杀 病 毒 软件 发 现 。 


9.5.3 木马 的 种 类 


从 木马 程序 产生 以 来 ,不 但 其 隐蔽 性 得 到 加 强 , 而 且 木马 的 技术 和 功能 也 在 不 断 加 
强 。 从 总 体 来 看 可 以 对 目前 已 发 现 的 木马 程序 进行 以 下 分 类 。 

(1) 远程 控制 型 木马 

远程 控制 木马 是 数量 最 多 ,危害 最 大 ,同时 知名 度 也 最 高 的 一 种 木马 。 这 类 木马 一 般 
集成 了 其 他 木马 和 远程 控制 软件 的 功能 : 它 可 以 让 攻击 者 完全 控制 被 感染 的 计算 机 ,使 
其 在 被 感染 的 机 器 上 为 所 和 欲 为 ,甚至 可 以 完成 一 些 连 计 算 机 主人 本 身 都 不 能 顺利 进行 的 
操作 ,可 以 得 到 机 主 的 私人 信息 甚至 包括 信用 卡 、 银 行 账号 等 至 关 重 要 的 信息 ,给 用 户 带 
来 巨大 的 损失 。 例 如 冰河 就 是 一 个 远程 控制 型 木马 , 它 可 以 进行 键盘 记录 、 上 传 和 下 载 信 
息 ,修改 注册 表 等 操作 。 

(2) 密码 发 送 型 木马 

密码 发 送 型 木马 是 专门 为 了 窃取 他 人 计算 机 上 的 各 种 密码 而 编写 的 程序 。 木 马 会 自 
动 搜 索 内 存 、Cache、 临 时 文件 夹 以 及 其 他 各 种 包含 有 和 密码 的 文件 ,如 Windows XP、 
Windows Server 2003 的 SAM 文件 中 保存 的 账户 密码 等 。 当 木马 搜索 到 有 用 的 密码 , 木 
马 就 会 利用 25 号 端口 的 简单 邮件 传输 协议 ,将 密码 发 送 到 指定 的 邮箱 ,从 而 达到 非法 窃 
取 他 人 计算 机 上 密码 的 目的 。 这 种 木马 的 设计 目的 是 找到 所 有 的 隐藏 密码 并 且 在 用 户 不 
知道 的 情况 下 把 密码 发 送 到 指定 的 信箱 。 

(3) 键盘 记录 型 木马 

这 种 特洛伊 木马 是 非常 简单 的 ,主要 是 用 于 记录 用 户 项 击 键盘 的 情况 以 及 在 日 志 
件 (log 文件 ) 中 查找 密码 。 它 们 分 别 记录 用 户 在 线 和 离线 状态 下 项 击 键 盘 时 的 按键 情 
况 , 然 后 将 记录 的 信息 通过 邮件 发 送 到 攻击 者 的 邮箱 中 。 攻 击 者 在 获得 这 些 按键 信息 后 ， 
通过 分 析 很 容易 就 可 以 得 到 用 户 的 各 种 计算 机 账户 密码 、 游 戏 密码 、 邮 件 密码 以 及 银行 密 
码 等 。 
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(4) 破坏 型 木马 

破坏 型 木马 从 字面 意思 就 可 以 理解 , 即 破坏 植 人 木马 的 计算 机 系统 , 轻 则 删除 重要 数 
据 , 程 序 , 传 人 病毒 , 重 则 使 系统 崩溃 。 破 坏 型 木马 的 功能 与 计算 机 病毒 有 些 相似 , 不 同 的 
是 破坏 型 木马 的 激活 是 由 攻击 者 控制 的 ,其 传播 能 力也 比 病毒 要 差 很 多 。 

(5) 拒绝 服务 攻击 型 木马 

随 着 拒绝 服务 (denial of service, DOS) 和 分 布 式 拒绝 服务 (distributed denial of 
service,DDOS) 攻 击 的 广泛 应 用 ,与 之 相伴 的 DOS 攻击 型 木马 也 越 来 越 流行 。 这 种 木马 
的 危害 不 是 体现 在 被 感染 计算 机 上 ,而 是 体现 在 攻击 者 可 以 利用 它 来 攻击 一 台 又 一 台 计 
算 机 ,给 网 络 造成 很 大 的 伤害 和 带 来 损失 。 当 黑客 入 侵 了 一 台 主 机 并 植 人 了 DOS 攻击 型 
木马 ,那么 这 台 主 机 就 成 为 黑客 攻击 信息 的 发 起 源头 。 黑 客 控制 的 主机 越 多 ,发 起 的 
DOS 攻击 也 就 越 具 有 破坏 性 。 例 如 邮件 炸弹 木马 ,主机 被 植 入 木马 后 ,木马 就 会 随机 自 
动 生成 大 量 的 邮件 ,并 将 其 发 送 到 特定 的 邮箱 中 ,直到 对 方 的 邮件 服务 器 瘫痪 为 止 。 

(6) 代理 型 木马 

所 谓 代理 其 实 就 是 一 个 跳板 或 中 转 , 即 两 台 计 算 机 之 间 的 通信 必须 借助 中 间 的 主机 
来 完成 ,这 台 主 机 就 是 代理 主机 。 代 理 型 木马 被 植 入 主机 后 ,该 计算 机 就 成 为 代理 主机 ， 
木马 程序 会 在 本 机 开启 HTTP、SOCKS 等 代理 服务 功能 ,攻击 者 把 受 感染 的 代理 主机 作 
为 跳板 ,以 被 感染 用 户 的 身份 进行 黑客 活动 。 例 如 ,使 用 Telnet 远程 登录 程序 ; ICQ、 
QQ IRC 等 即时 信息 程序 等 ,从 而 达到 隐藏 自己 的 目的 。 

(7) FTP 木马 

FTP 木马 是 相对 比较 早期 的 类 型 , 它 利用 网 上 广泛 使 用 的 FTP 功能 ,通过 FTP 使 用 
的 TCP 21 端口 来 实现 主机 之 间 的 连接 。 后 期 发 展 的 FTP 木马 加 上 了 密码 功能 ,这 样 只 
有 攻击 者 本 人 才 知 道 正 确 的 密码 ,从 而 进入 对 方 的 计算 机 。 

(8) 程序 杀手 木马 

木马 程序 进入 用 户主 机 并 不 一 定 就 能 够 生存 下 去 ,因为 一 般 用 户 都 安装 有 杀毒 软件 。 
只 有 通过 了 杀毒 软件 的 检测 ,木马 才能 发 挥 自己 的 作用 。 程 序 杀 手 木 马 的 功能 主要 就 是 
关闭 对 方 计算 机 上 运行 防 病毒 程序 或 防 木马 程序 ,从 而 让 其 他 的 木马 安全 进入 ,实现 对 主 
机 的 攻击 。 

(9) 反弹 端口 型 木马 

防火 墙 是 网 络 安 全 防护 的 一 道 重 要 屏障 。 其 主要 功能 就 是 将 内 部 网 络 与 外 部 网 络 隔 
离 , 对 进入 内 部 网 络 的 数据 包 进 行 严 格 的 分 析 和 过 滤 , 从 而 保护 内 部 网 络 资源 数据 不 被 非 
授权 访问 。 这 种 防护 一 般 偏重 于 对 进入 内 网 数据 包 的 检测 ,而 对 从 内 网 出 去 的 数据 包 则 
没有 那么 严格 。 木 马 开发 者 利用 防火 墙 的 这 一 特点 ,开发 了 反弹 端口 型 木马 。 这 种 木马 
与 以 往 木 马 的 不 同 之 处 在 于 它 将 服务 器 端 安放 在 攻击 者 的 计算 机 中 ,服务 器 端 使 用 主动 
端口 。 客 户 端 安放 在 被 攻击 者 的 计算 机 中 ,客户 端 使 用 被 动 端口 。 木 马 的 服务 器 端 会 定 
时 检测 客户 端的 存在 ,发现 客 户 端 上 线 后 ,立即 弹出 端口 主动 连接 客户 端 打开 的 端口 。 为 
了 隐蔽 起 见 ,客户 端的 端口 一 般 开 在 常用 服务 ,如 80 这 类 的 端口 上 ,这 样 木马 就 可 以 将 传 
送 的 数据 包含 在 正常 服务 协议 (如 HTTP) 的 报 文中 ,从 而 避免 被 发 现 。 
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9.5.4 木马 的 特征 


木马 程序 因为 开发 人 和 开发 时 期 的 不 同 、 开 发 技术 的 不 同 以 及 开发 目的 不 同 而 呈现 
出 各 种 各 样 的 种 类 ,但 无 论 哪 种 类 型 的 木马 程序 ,它们 一 般 都 有 以 下 基本 特征 。 

(1) 隐蔽 性 

木马 也 是 一 种 病毒 ,隐蔽 性 是 木马 首要 特征 。 木 马 必须 有 能 力 长 期 潜伏 于 目标 机 器 
中 , 想 尽 一 切 办 法 不 被 发 现 , 然 后 才能 发 挥 作用 。 一 个 很 容易 被 杀毒 软件 或 者 用 户 检查 出 
来 的 木马 程序 将 变 得 毫 无 价值 。 木 马 的 隐蔽 性 主要 体现 在 以 下 两 个 方面 。 一 是 不 产生 图 
标 。 它 虽然 在 系统 启动 时 会 自动 运行 ,但 它 不 会 在 “任务 栏 " 中 产生 一 个 图 标 , 这 样 当 木马 
运行 时 用 户 就 不 会 在 桌面 上 轻易 发 现 它 。 二 是 木马 程序 自动 在 任务 管理 器 中 隐藏 ,并 以 
“系统 服务 ”的 方式 欺骗 操作 系统 。 这 也 就 使 用 户 不 能 轻易 了 解 是 否 中 了 木马 。 

(2) 自动 运行 性 

木马 程序 只 有 运行 起 来 才能 为 攻击 者 提供 帮助 ,因此 它 是 一 个 会 随 着 系统 启动 时 自 
动 运行 的 程序 。 为 了 实现 这 一 点 , 它 常常 潜入 加 载 在 启动 配置 文件 中 ,如 config. sys、 
autoexec. bat win. ini\system. ini、winstart. bat 以 及 启动 组 等 文件 之 中 。 或 者 是 与 其 他 
经 常 运 行 的 程序 绑 定 在 一 起 , 随 着 它们 的 运行 而 运行 。 

(3) 欺骗 性 

为 了 能 让 自己 存在 于 用 户 的 计算 机 中 ,而 不 被 用 户 发 现 , 木 马 常常 使 用 名 字 欺 骗 技术 
和 假冒 身份 的 方法 来 达到 长 期 隐蔽 的 目的 。 它 经 常 使 用 常见 的 文件 名 或 扩展 名 ,如 dll、 
win、sys、explorer 等 字样 ; 或 者 修改 几 个 文件 中 的 这 些 难以 分 辨 的 字符 ,仿制 一 些 不 易 被 
人 区 别 的 文件 名 ,如 数字 "1 与 字母 "1”\ 数 字 *0" 与 大 写字 母 "“0”; 或 者 借用 系统 文件 中 已 
有 的 文件 名 ,将 它 保存 在 不 同 路 径 之 中 。 编 制 木马 程序 的 人 利用 这 些 手 段 达 到 欺骗 用 户 ， 
隐藏 自己 的 目的 。 

(4) 自动 恢复 性 

现在 很 多 的 木马 程序 中 的 功能 模块 已 不 再 是 由 单一 的 文件 组 成 ,各 模块 文件 之 间 互 
相 备 份 ,使 木马 具有 多 重 备 份 的 能 力 ,即使 木马 程序 中 被 删除 了 一 个 模块 文件 时 , 仅 利用 
备份 就 可 以 恢复 删除 的 文件 。 


9.5.5 系统 中 木马 后 的 症状 


一 般 木 马 程序 进入 用 户 的 计算 机 ,主要 是 通过 电子 邮件 的 附件 .文件 下 载 .脚本 
ActiveX 及 ASP. CGI 交互 脚本 等 方式 ,然后 利用 自 启动 方式 使 木马 程序 悄悄 地 在 计算 机 中 
运行 。 由 于 木马 程序 都 比较 小 ,大 小 只 有 几 KB 到 几 十 KB 之 间 , 因 此 木马 程序 一 般 很 难 被 
发 现 。 与 计算 机 病毒 一 样 , 当 木马 入 侵 系 统 后 也 会 表现 出 一 定 的 症状 ,主要 表现 为 以 下 几 种 。 

(1) 随意 弹出 窗口 

虽然 用 户 的 计算 机 已 经 连接 了 网 络 ,但 却 没有 打开 任何 浏览 器 。 这 时 ,如 果 系 统 突然 
弹出 一 个 上 网 窗口 ,并 打开 某 一 个 网 站 ,这 时 就 有 可 能 运行 了 木马 。 如 果 用 户 上 网 使 用 的 
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是 拨号 方式 ,如 果 系 统 突然 进行 自动 拨号 ,也 可 能 是 有 木马 在 和 运行。 另外 ,在 用 户 操作 计 
算 机 时 ,有 时 会 弹出 一 些 警告 框 或 信息 提示 对 话 框 , 这 时 也 可 能 已 运行 了 木马 程序 。 

(2) 系统 配置 参数 发 生 改 变 

有 的 时 候 , 用 户 使 用 的 Windows 操作 系统 的 配置 (如 屏幕 保护 、 时 间 和 日 期 显示 、 声 
音 控制 ,鼠标 的 形状 及 录 敏 度 .CD-ROM 的 自动 运行 程序 等 ) 莫 名 其 妙 地 被 自动 更 改 , 系 
统 变 得 不 稳定 ,开机 后 就 现 异常 ,甚至 有 时 蓝屏 或 死机 。 

(3) 频繁 地 读 写 硬盘 

在 计算 机 上 并 未 进行 任何 操作 时 ,如 果 系 统 很 频繁 地 读 写 硬 盘 ( 硬 盘 指 示 灯 会 不 停 地 
闪烁 ) ,或 者 软盘 驱动 器 也 经 常 自 动 读 盘 , 或 者 在 没有 正常 程序 工作 时 ,系统 速度 明显 降低 
( 比 以 前 要 慢 好 多 ) ,这 时 就 可 能 有 木马 在 运行 。 

(4) 文件 无 故 丢 失 ,数据 被 无 故 删改 

在 操作 系统 的 任务 栏 . 任 务 管理 器 等 处 显示 不 认识 或 者 是 非 用 户 安装 的 图 标 和 进程 。 

(5) 在 用 户 双击 运行 某 个 软件 的 时 候 , 杀 毒 软件 和 防火 墙 出 现 警 告 或 自动 关闭 

这 意味 计算 机 里 面 的 这 个 软件 已 经 被 木马 捆绑 在 一 起 了 ,只 要 双击 那 软 件 就 会 和 木 
马 一 起 运行 。 


9.5.6 木马 的 防治 


防治 木马 的 过 程 ,其 实 就 是 预先 采取 一 定 的 措施 来 预防 木马 进入 系统 ,即将 木马 阻止 
在 计算 机 之 外 。 


1. 防止 以 电子 邮件 方式 植 入 木马 


目前 电子 邮件 的 使 用 已 非常 广泛 ,每 一 个 使 用 Internet 的 用 户 几 乎 都 拥有 电子 信箱 ， 
而 大 量 的 木马 便利 用 电子 邮件 来 植 入 用 户 的 计算 机 系统 。 木 马 在 电子 邮件 中 的 位 置 一 般 
有 两 种 : 附件 和 正文 。 早 期 的 电子 邮件 正文 多 使 用 文本 ,很 显然 木马 程序 是 无 法 隐藏 在 
文本 中 的 ,所 以 只 能 藏匿 在 电子 邮件 的 附件 中 ,而 且 还 采取 双 后 绥 名 方式 。 一 旦 用 户 打开 
了 藏 有 木马 的 附件 ,就 将 木马 植 人 到 了 系统 中 。 为 预防 这 类 木马 ,建议 用 户 不 要 随意 打 
开 来 路 不 明 的 电子 邮件 的 附件 。 如 果 确 实 要 打开 不 确定 来 历 的 电子 邮件 附件 时 ,建议 
先 将 其 下 载 到 指定 的 文件 夹 中 ,用 杀 病 毒 软件 查 杀 病毒 并 用 专用 查 杀 木马 工具 扫描 后 
再 打开 。 

现在 的 电子 邮件 系统 支持 在 正文 中 直接 显示 图 片 HTML 页 面 等 内 容 , 有 些 电子 邮 
件 系统 还 支持 运行 语音 和 视频 。 例 如 , 当 邮 件 正文 中 显示 了 HTML 页 面 ,并 显示 了 一 些 
链接 时 ,一 般 不 要 点 击 这 些 链接 。 另 外 ,HTML 页 面 中 本 身 也 可 以 隐藏 不 安全 的 代码 ,一 
且 打 开 这 类 邮件 ,不 知 不 觉 中 就 已 感染 了 计算 机 病毒 或 植 和 人 了 木马 。 对 于 利用 邮件 正文 
传播 的 病毒 和 木马 ,唯一 可 行 的 预防 方法 是 不 要 打开 这 类 邮件 ,而 将 其 直接 删除 。 


2. 防止 在 下 载 文件 时 植 入 木马 
计算 机 网 络 的 特点 之 一 是 提供 了 海量 的 信息 和 资源 ,其 中 包括 一 些 软件 。 目 前 ,很 多 
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网 络 用 户 已 习惯 于 在 网 络 上 搜索 和 下 载 所 需要 的 软件 ,但 没有 任何 人 能 够 保证 网 络 上 下 
载 的 软件 是 “干净 ”的 。 为 了 防止 在 网 上 下 载 文件 时 被 植 人 木马 ,建议 安装 在 服务 器 上 的 
所 有 软件 不 要 使 用 从 网 上 下 载 的 ,对 于 客户 机 上 使 用 的 软件 如 果 确 实 需要 从 网 上 下 载 的 
软件 时 ,建议 先 将 软件 下 载 到 某 一 个 指定 的 文件 夹 中 ,用 杀 病 毒 软件 查 杀 病毒 并 用 专用 查 
杀 木 马 工具 扫描 后 再 安装 使 用 。 

建议 习惯 于 从 网 上 下 载 软件 的 用 户 使 用 专用 的 下 载 工 具 ( 如 FlashGet) ,并 将 文件 下 
载 到 指定 的 文件 夹 中 ,同时 把 下 载 工具 和 杀 病 毒 或 查 杀 木 马 软 件 进行 绑 定 ,这 样 每 当下 载 
完 一 个 文件 后 ,下 载 工具 便 会 利用 已 绑 定 的 杀 病 毒 或 查 杀 木马 软件 对 其 进行 自动 扫描 。 
以 FlashGet 为 例 , 实 现 与 杀 病 毒 或 查 杀 木马 软件 绑 定 的 方法 为 ,在 FlashGet 操作 窗口 中 
选择 “工具 一 选项 一 文件 管理 ”, 在 打开 的 对 话 框 中 选取 “下 载 完毕 后 进行 病毒 检查 ”项 ,并 
单 击 “ 浏 览 ” 按 钮 ,选择 本 机 上 已 使 用 的 杀 病 毒 或 查 杀 木马 的 软件 名 称 ,同时 选择 下载 完 
毕 后 打开 或 者 查看 已 下 载 的 文件 " 复 选 框 。 


3. 防止 在 浏览 网 页 时 植 入 木马 


由 于 IE 浏览 器 本 身 存 在 的 缺陷 ,许多 程序 可 以 在 用 户 不 知情 的 情况 下 安装 在 系统 
中 ,这 也 为 木马 的 植 人 提供 了 一 条 途径 。 加 强 IE 的 安全 性 ,一 方面 是 使 用 最 新 版 本 的 IE 
软件 ,因为 新 版 本 的 IE 修改 了 老 版 本 的 许多 不 足 , 尤 其 在 安全 性 方面 得 到 了 提高 。 同 时 ， 
在 使 用 任何 一 个 IE 时 ,都 要 及 时 升级 Services Pack 补丁 程序 ,以 修补 IE 存在 的 漏洞 ; 另 
一 方面 是 设置 IE 的 设置 属性 ,具体 方法 是 在 IE 窗口 中 ,选择 "工具 一 Internet 选项 一 安 
全 ”, 打 开 如 图 9. 3 所 示 的 对 话 框 。 选 取 安 全 设置 对 象 栏 中 的 “Internet? 后 , 单 击 “ 自 定 义 
级 别 ”, 在 打开 的 如 图 9.4 所 示 的 对 话 框 中 把 “ActiveX 控件 和 插件 ?下 的 选项 全 部 设置 为 
“禁用 ”, 这 样 就 阻止 了 IE 自动 下 载 和 执行 文件 的 可 能 性 。 


Internet 选项 
[ 钢 安全 |[ 隐 色 [内 容 | 连接 | 程序 | 高 级 
请 为 不 同 区域 的 Yab 内 容 指定 安全 设置 C) 


本 地 受信 任 的 站 。 受 限制 的 站 


Intranet 


Internet 
二 此 区 域 包 合 您 还 没有 放 到 其 它 区 域 
中 的 所 有 网 站 


语 区 域 的 安全 级 别 LL) 


Bg 
= 了 和 放生 
二 刘 信 用 推荐 的 设 吐 ， 请 捍 击 “ 识 凡 领 别 " 


[EREX5EBIO- 


9.3 “Internet 选项 ”对 话 框 
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[加 FREE 
回 hetivex 控件 自动 提示 
@@ 楷 用 


〇 局 用 

图 对 标记 为 可 安全 执行 脚本 的 ActiveX 控件 执行 脚 = 
O 〇 禁用 
昌 忆 用 
〇 提示 

图 对 没有 标记 为 安全 的 Activex 控件 进行 初始 化 和 有 
加 禁用 


图 9.4 禁用 AeitveX 控件 和 插件 


9.6 脚本 病毒 的 防治 


脚本 (Script) 是 使 用 一 种 特定 的 描述 性 语言 ,依据 一 定 的 格式 编写 的 可 执行 文件 ,又 
称 作 宏 或 批 处 理 文件 。 脚 本 通常 可 以 由 应 用 程序 临时 调用 并 执行 。 因 为 脚本 不 仅 可 以 减 
小 网 页 的 规模 和 提高 网 页 浏览 速度 ,而 且 可 以 丰富 网 页 的 表现 (如 动画 、 声 音 等 ), 所 以 目 
前 各 类 脚本 被 广泛 地 应 用 于 网 页 设计 中 。 也 正 因 为 脚本 有 这 些 特 点 , 才 被 一 些 别 有 用 心 
的 人 所 利用 。 例 如 在 脚本 中 加 入 一 些 破坏 计算 机 系统 的 命令 或 直接 植 人 木马 等 ,这 样 当 
用 户 浏 览 网 页 时 ,一 旦 调用 这 类 脚本 ,用 户 的 系统 便 会 受到 攻击 。 本 节 将 介绍 脚本 病毒 的 
特征 及 其 清除 和 防治 方法 。 


9.6.1 脚本 的 特征 


脚本 语言 能 够 和 庶 入 到 HTML 文件 中 ,同时 具有 解释 执行 功能 。 现 在 大 量 的 Web 页 
面 都 代 入 了 脚本 语言 ,同时 越 来 越 多 的 网 络 应 用 使 用 脚本 语言 来 编写 。 也 正 是 如 此 ,一 些 
别有用心 的 用 户 便 使 用 脚本 语言 来 编辑 病毒 程序 ( 即 脚本 病毒 ) ,并 通过 网 络 进行 传播 。 

根据 脚本 语言 的 工作 原理 ,可 以 将 其 分 为 两 大 类 : 服务 器 端 脚本 和 客户 端 脚本 。 
服务 器 端 脚本 指 由 Web 服务 器 负责 解释 执行 的 脚本 ,客户 端的 浏览 器 只 需要 显示 服务 
器 端的 执行 结果 。ASP、PHP 是 常用 的 服务 器 端 脚本 语言 。 客 户 端 脚本 指 由 浏览 器 负 
责 解 释 执行 的 脚本 。 常 见 的 客户 端 脚 本 语言 有 VBScript(VBS) 语 言 和 JavaScript(JS) 
语言 。 
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9.6.2 脚本 病毒 的 特征 


脚本 病毒 主要 是 由 VBScript 语言 和 JavaScript 语言 来 编写 的 计算 机 病毒 ,可 以 直接 
添加 到 同类 的 程序 代码 (如 HTML) 中 ,通过 调用 Windows 组 件 或 对 象 ,直接 对 注册 表 、 
文件 系统 进行 操作 。 

脚本 病毒 的 传播 途径 比较 多 ,由 于 VBScript 和 JavaScript 编写 的 代码 可 以 直接 插入 
到 HTML, 文 件 中 ,同时 浏览 器 也 直接 支持 对 这 两 种 语言 所 编写 的 代码 的 解释 ,所 以 脚本 
病毒 多 通过 Web 页 面 进行 传播 ,也 可 以 经 常 插入 到 电子 邮件 的 附件 或 通过 局 域 网 的 共享 
设置 来 传播 。 总 的 来 说 ,脚本 病毒 具有 以 下 特点 。 

(1) 编写 简单 

即使 一 个 以 前 对 病毒 一 无 所 知 的 用 户 , 只 要 略 懂得 HTML、VBScript 和 JavaScript 
语言 的 编写 方法 ,就 可 以 在 很 短 的 时 间 里 编写 出 一 个 新 型 病毒 来 。 例 如 ,下 面 就 是 一 段 通 
过 使 用 脚本 语言 显示 当前 时 间 的 代码 。 


<html> 
<head> 
<title> 网 页 中 显示 系统 日 期 时 间 </title> 
< Script language = "JavaScript"> 
function startTime() 
{ 
var today = new Date( ); 
Var YYYY = today. getFullYear(); 
Var MM = today.getMonth()+1; 
var dd = today. getDate(); 
Var hh = today. getHours(); 
Var mm = today. getMinutes( ); 
Var ss= today. getSeconds(); 
MM = checkTime( MM); 
dd= checkTime( dd); 
mm = checkTime( mm) ; 
ss = checkTime( ss); 
var day; 


if(today.getDay()==0) day = "星期 日 " 
if(today.getDay() ==1) day = "星期 一 " 
if(today.getDay()==2) day = "星期 二 " 
if(today.getDay() ==3) day = "星期 三 " 
if(today.getDay()==4) day = "星期 四 " 
if(today.getDay()==5) day = "星期 五 
if(today.getDay()==6) day = "星期 六 " 


document. getElementById( nowDateTimeSpan').. innerHTML = yyyy + " —" +MM +"—" 
+ dd +""+ hht":"+tmmt":"+sst" "+ day; 
setTimeout( 'startTime()',1000); 
} 
function checkTime(i) 
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证 (i<10){ 
On 二 
} 
return i; 
} 
</script > 
</head> 
< body onload = "startTime( ) "> 
当前 时 间 : 
< font color = "#33FFFF">< span id = "nowDateTimeSpan"></span ></font > 
</body> 
</html > 
用 户 只 需要 使 用 任何 一 个 文本 编辑 器 来 输入 这 段 代 码 ,并 将 其 保存 为 以 html 为 扩展 
名 的 文件 , 当 利 用 浏览 器 打开 时 就 会 直接 执行 该 脚本 。 
(2) 破坏 力 大 
脚本 病毒 的 破坏 力 不 仅 表现 在 对 用 户 系统 文件 的 破坏 上 ,还 可 以 使 邮件 服务 器 崩溃 ， 
网 络 发 生 严重 阻塞 。 
(3) 感染 力 强 
由 于 脚本 是 直接 解释 执行 ,而 且 它 不 像 其 他 病毒 那样 需要 做 复杂 的 文件 格式 处 理 , 因 
此 脚本 病毒 可 以 直接 通过 自我 复制 的 方式 感染 其 他 同类 文件 。 
(4) 病毒 源 代码 容易 被 获取 , 且 变 种 较 多 
由 于 VBS 和 JS 病毒 直接 解释 执行 ,其 源 代码 的 可 读 性 非常 强 , 即 使 病毒 源 代码 经 过 
加 密 处 理 后 ,其 源 代码 的 获取 还 是 比较 简单 。 因 此 ,这 类 病毒 变种 比较 多 ,稍微 改变 一 下 
病毒 的 结构 ,或 者 修改 一 下 特征 值 ,就 可 以 躲 过 很 多 杀毒 软件 的 查 杀 。 
(5) 欺骗 性 强 
脚本 病毒 为 了 能 够 迷惑 用 户 而 得 以 运行 ,往往 会 对 自己 进行 必要 的 伪装 。 例 如 ,有 些 
插入 到 电子 邮件 附件 中 的 脚本 病毒 , 它 会 使 用 类 似 *. jpg. vbs” 的 后 缀 ,由 于 Windows 操 
作 系统 在 默认 情况 下 不 会 显示 后 级 ,这 样 用 户 看 到 的 将 是 一 个 JPG 图 片 文件 。 


9.6.3 脚本 病毒 的 防治 


脚本 病毒 一 般 通 过 电子 邮件 的 附件 .局域网 共享 和 HTML、ASP、JSP、PHP 网 页 等 
方式 传播 。 在 传播 过 程 中 ,脚本 病毒 要 运行 起 来 往往 需要 其 他 程序 的 支持 ,比如 说 : 需要 
FileSystemObject( 文 件 系统 对 象 ) 的 支持 : 需要 通过 Windows 脚本 宿主 (Windows 
Scripting Host,WSH) 来 解释 执行 ; 需要 其 关联 程序 文件 WScript. exe 的 支持 ; 当 通 过 
网 页 传播 时 需要 ActiveX 控件 的 支持 : 当 通过 电子 邮件 传播 时 需要 Outlook 的 支持 。 


1. 网 页 脚本 病毒 的 防治 
根据 微软 公司 权威 软件 开发 指南 (Microsoft Developer Network, MSDN) 的 定义 ， 
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ActiveX 控件 以 前 也 叫做 OLE 控件 或 OCX 控件 , 它 是 一 些 软件 组 件 或 对 象 ,可 以 将 其 插 
入 到 Web 网 页 或 其 他 应 用 程序 中 。ActiveX 插件 技术 是 国际 上 通用 的 基于 Windows 平 
台 的 软件 技术 ,除了 网 络 实名 插件 之 外 ,许多 软件 均 采用 此 种 方式 开发 ,如 Flash 动画 播 
放 择 件 、Microsoft Media Player 插件 等 。 一 般 软 件 需要 用 户 单独 在 操作 系统 上 进行 安 
装 ,而 ActiveX 控件 是 当 用 户 浏览 到 特定 的 网 页 时 ,Internet Explorer 浏览 器 即 可 自动 下 
载 并 提示 用 户 安装 。ActiveX 控件 安装 的 一 个 前 提 是 必须 经 过 用 户 的 同意 或 确认 。 为 了 
ActiveX 插件 能 够 在 IE 浏览 器 上 安全 运行 ,人 们 设计 了 多 种 安全 保证 措施 。 

@ ActiveX 使 用 了 两 个 补充 性 的 策略 ,安全 级 别 和 证 明 ,来 进一步 确保 软件 安全 性 。 

@ Microsoft 公司 提供 了 一 套 工具 ,可 以 用 来 增加 ActiveX 对 象 的 安全 性 。 

@ 通过 Microsoft 公司 的 验证 代码 工具 ,可 以 对 ActiveX 控件 进行 签名 ,以 保证 用 户 
的 确 是 控件 的 作者 且 没 有 他 人 自 改 过 这 个 控件 。 

@ 为 了 使 用 验证 代码 工具 对 组 件 进行 签名 ,必须 从 证 书 授权 机 构 获 得 一 个 数字 证 
书 ; 证 书包 含 表明 特定 软件 程序 是 正版 的 信息 ,这 确保 了 其 他 程序 不 能 再 使 用 原 程 序 的 
标识 。 证 书 还 记录 了 颁发 日 期 。 当 用 户 试图 下 载 软件 时 , Internet Explorer 会 验证 证 书 
中 的 信息 ,以 及 当前 日 期 是 否 在 证 书 的 截止 日 期 之 前 。 如 果 在 下 载 时 该 信息 不 是 最 新 的 
和 有 效 的 ,Internet Explorer 将 显示 一 个 警告 。 

@ 在 Internet Explorer 默认 的 安全 级 别 中 ,安装 ActiveX 控件 之 前 ,用 户 可 以 根据 
自己 对 软件 发 行商 和 软件 本 身 的 信任 程度 ,选择 决定 是 否 继续 安装 和 运行 此 软件 。 

从 组 成 来 看 ,ActiveX 既 包 含 服务 器 端 技 术 ,也 包含 客户 端 技术 ,其 主要 内 容 是 如 下 。 

D ActiveX 控制 (ActiveX Control) ,用 于 向 Web 页 面 ` Word 等 支持 Activex 的 容器 
(Container) 中 插入 COM 对 象 。 

@ ActiveX 文档 (ActiveX Document), 用 于 在 Web 浏览 器 (主要 是 Internet 
Explorer) 或 者 其 他 支持 ActiveX 的 容器 中 浏览 复合 文档 ( 非 HTML 文档 ), 例 如 Word 
文档 、Excel 文档 或 者 用 户 自 定义 的 文档 等 。 

@ ActiveX 脚本 描述 (ActiveX Scripting) ,用 于 从 客户 端 或 者 服务 器 端 操 纵 ActiveX 
控制 和 Java 程序 ,传递 数据 ,协调 它们 之 间 的 操作 。 

@ ActiveX 服务 器 框架 (ActiveX Server Framework) ,提供 了 一 系列 针对 Web 服务 
器 应 用 程序 设计 各 个 方面 的 函数 及 其 封装 类 ,例如 服务 器 过 滤器 .HTML 数据 流 控制 等 。 

从 ActiveX 的 工作 原理 可 以 看 出 ,网 页 脚本 病毒 与 ActiveX 控件 之 间 存 在 着 一 种 依 
赖 关系 ,如 果 在 技术 上 保证 了 ActiveX 的 安全 ,也 就 保证 了 网 页 的 安全 。 此 外 ,如 果 将 下 
载 ActiveX 控件 和 插件 的 功能 全 部 设置 为 “禁用 ”, 那 么 即使 浏览 了 带 有 脚本 病毒 的 网 页 
由 于 Internet Explorer 无 法 解析 和 执行 这 些 ActiveX 控件 ,病毒 将 找 不 到 执行 自身 的 程 
序 , 从 而 避免 了 脚本 病毒 人 侵 网 页 。 如 果 禁 用 了 ActiveX 控件 ,那么 浏览 带 有 ActiveX 控 
件 的 网 站 时 ,将 无 法 查看 和 使 用 一 些 脚本 语言 实现 的 特效 。 这 时 ,就 需要 在 应 用 功能 与 安 
全 之 间 进 行 必要 的 选择 。 具 体 配置 方法 是 在 桌面 上 选中 “Internet Explorer”, 单 击 鼠 标 右 
键 ,在 出 现 的 快捷 菜单 中 选择 “Internet 属性 ”。 在 打开 的 对 话 框 中 选择 “安全 ”标签 , 单 击 
其 中 的 “ 自 定义 级 别 " 按 钮 ,在 打开 的 新 对 话 框 中 设置 ActiveX 控件 和 插件 的 属性 。 从 安 
全 考虑 ,对 不 安全 的 控件 和 插件 全 部 设置 为 “禁用 ”, 同 时 将 “安全 级 ”设置 为 “高 ”。 
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2. 局 域 网 中 脚本 病毒 的 防治 


一 般 的 企业 组 建 局 域 网 的 主要 目的 是 实现 资源 共享 ,而 局 域 网 中 的 资源 共享 正 是 大 
多 数 脚本 病毒 传播 的 首选 途径 。 局 域 网 中 脚本 病毒 入 侵 的 方法 很 简单 ,脚本 病毒 主要 是 
利用 共享 资源 的 “可 写 " 属 性 ,以 将 病毒 文件 放 入 共享 文件 夹 ,或 添加 到 共享 文件 夹 中 的 文 
件 中 。 因 此 ,在 局 域 网 中 预防 脚本 病毒 的 方法 主要 是 取消 对 共享 资源 的 “可 写 ” 属 性 ,将 其 
修改 为 “只 读 ” 属 性 。 

另外 ,在 局 域 网 中 传播 的 许多 脚本 病毒 会 将 自己 伪装 成 为 脚本 文件 ,例如 病毒 文件 
love. vbs 在 传播 之 前 为 了 避 开 杀毒 软件 的 扫描 , 便 将 其 修改 为 双 扩 展 名 的 文件 love. jpg. 
vbs。 由 于 系统 默认 脚本 文件 * . vbs 的 属性 是 隐藏 的 ,因此 脚本 病毒 就 能 “ 骗 过 ”杀毒 软 
件 的 检查 。 因 此 ,在 手工 清除 这 类 双 扩 展 名 的 脚本 病毒 文件 时 ,首先 要 取消 系统 默认 的 隐 
藏 扩展 名 的 设置 。 

由 于 脚本 病毒 在 局 域 网 中 还 会 利用 邮件 附件 进行 传播 ,所 以 在 局 域 网 中 使 用 邮件 系 
统 时 要 特别 注意 ,对 于 来 源 不 明 的 邮件 ,建议 不 要 随意 打开 其 附件 。 如 果 一 定 要 打开 邮件 
的 附件 ,可 将 附件 下 载 到 指定 的 磁盘 上 ,然后 再 利用 杀 病 毒 软件 对 其 进行 查 毒 操作 ,在 确 
认 附 件 没 有 感染 病毒 后 再 打开 它 。 

局 域 网 中 的 脚本 病毒 要 彻底 清除 比较 困难 ,因为 只 要 有 一 台 计算 机 未 彻底 地 清除 病 
毒 ,就 会 使 局 域 网 中 的 清除 病毒 工作 前 功 尽 弃 。 当 这 台 未 清除 病毒 的 计算 机 连接 局 域 网 
后 ,病毒 就 会 利用 网 络 很 快 再 次 传播 开 来 。 


习题 


. 什么 是 计算 机 病毒 ? 

.病毒 代码 主要 由 几 部 分 构成 ? 

. 计算 机 病毒 分 为 哪 几 类 ? 

. 计算 机 病毒 的 主要 特征 是 什么 ? 

. 简 述 计算 机 病毒 的 工作 过 程 。 

. 计算 机 病毒 的 触发 机 制 是 什么 ? 病毒 的 触发 条 件 有 哪些 ? 
. 计算 机 病毒 的 检测 方法 有 哪些 ? 

、 如何 对 计算 机 网 络 病毒 进行 预防 ? 

. 蠕虫 病毒 的 特征 是 什么 ? 蠕虫 的 感染 对 象 主要 有 什么 ? 
. 简 述 蠕虫 的 防治 方法 。 

. 简 述 木马 病毒 的 基本 特征 及 隐藏 方式 。 

12. 系统 运行 了 木马 后 的 症状 表现 是 什么 ? 

13. 木马 主要 通过 修改 Windows 系统 的 哪些 文件 来 达到 目的 ? 
14. 简 述 木马 的 防治 方法 。 

15. 脚本 病毒 具有 哪些 特点 ? 

16. 简 述 脚本 病毒 的 防治 方法 。 
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